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ACADEMIA ú SZSNETLOCK 


sa Az Első Hitelesítés Szolgáltató 
közös szervezésében 


Szerezzen átfogó tudást az elektronikus aláírás és titkosítás vállalati szintű 


alkalmazásában 





Technikai blokk: 
. Mi az a kriptográfia? 
. Hogyan tudunk nyílt hálózaton kommunikálni úgy, hogy azonosítani tudjuk kommunikációs partnerünket? 
Lz Meg tudunk bizonyosodni üzeneteink sértetlenségéről? 
bú Hogyan működik a titkosítás? Mi a kulcspár, a tanúsítvány, mi a szerepe az intelligens kulcstároló eszközöknek? 


További témakörök: 


. szimmetrikus algoritmusok, nyílt kulcsú RSA, hash, a X.509 tanúsítványok szerepe és használata, 
. hitelesítésszolgáltató, a hierarchia felépítése, 

. kulcstároló eszközök: intelligens kártya és USB Token, 

. bejelentkezés tanúsítvánnyal (Single Sign On), SSL, S/MIME, HTTPS, 

. virtuális magánhálózatok. 


Jogi blokk: 


. az elektronikus aláírási törvény célja, következményei, a végrehajtási rendeletek. 
. Jogkövetkezmények, és a szükséges feltételek megléte. 


Ajándék! 


mú , ] ea 4NetLock C-osztályú 
áh tanusítván 
te vagy - B 


USB-token Smart Card olvasó és kártya 








Hallgatóink a tanfolyamon használt kriptográfiai eszközöket a tanfolyam után megtarthatják, és - a mellékelt 
NetLock tanúsítványokkal - hiteles elektronikus aláírást és nyílt kulcsú titkosítást használhatnak! 


Hozza el a főnöké 





Ha cégüktől két fő jelentkezik a PKI-workshopra, mindketten ingyen részt vehetnek Mikulás-konferenciánkon! 


(Mikulás-konferenciánkról további információk az első borító hirdetésében vagy a http://vwww.netacademia.net/mikulas címen!) 


























A tanfolyam időpontjai nádi, Bővebb információ és jelentkezés Ár [Ft] ikes 
2002. december 10. ú http://vwww.netacademia.net/workshop/PKI 140,000 ] e TŐ 
2003. január 14. 2 http://www.netacademia.net/workshop/PKI 140,000 ] sa TŐ 
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Processzor kerestetik 


A nemrégiben lezajlott közvélemény-kutatás tanúsága szerint a válaszolók egy ,apró" kelle- 
metlenséget leszámítva elégedettek munkánkkal. Köszönjük mindenkinek a segítséget, és íga- 
zán köszönjük a sok , Hajrá!", ,Csak így tovább!" értelmű véleményt, mert ebből tudjuk, hogy 
lapunk — sok más hasonló kiadványtól eltérően — haszonnal forgatható. Nem egy válaszoló ír- 
ta, hogy még több anyagot is szívesen fogadna. 

De hogy ne sokat kerteljek, azonnal rátérek az ,apró" kellemetlenségre: ez pedig a lap megje- 
lenésének rapszodikus volta. Vajon mi lehet az oka annak, hogy a tech.net magazin menetren- 
di pontossággal késik? A nyár folyamán bekövetkezett lapmegszűnések (in memoriam BYTE, 
CHIP) miatt bizonyára sokan arra gondolnak, pénzügyi oka van a késésnek. Nem. Az ok igen 
egyszerű: lelkes szerzőgárdánk jobbára az információátadás szeretetétől vezérelve, és nem 
megélhetési okokból írja cikkeit. Nem is végezhetnénk ezt a munkát főállásban, mert akkor új- 
ságíróvá válnánk, majd rövid úton kiesnénk a gyakorlatból, végül az informatikából is. Így ma- 
rad a ,hobbyszint", a napi robot után végzett kutatás-cikkelés. 


Szűk keresztmetszet 


Most vegyünk egy átlagos cikket, mondjuk egy IPSec-VPN tanulmányt. Ennek előállítási ideje 
nyilvánvalóan sokszorosa egy hagyományos cikkének, amely arról tudósít, hogy a Microsoftot 
részvénycsere útján bekebelezte a Red Hat. Fel kell építeni a tesztkörnyezetet, ki kell próbálni 
(elbábozni) az egyes lehetőségeket, észre kell venni a kritikus pontokat, és le kell írni az egészet. 
Ez bizony sok idő. Hobbyszinten, éjszakánként művelve rendesen el is nyúlik akár két hétre is. 
És már meg is történt a baj: ráfutottunk az összes — általunk felállított — határidőre. Szűk kereszt- 
metszet! 

Mit kell tenni, ha a ,processzor" 10099-on ketyeg, a merevlemez zörög, a gépből mégis többet 
kellene kihozni? Párhuzamosítani kell a folyamatokat! 


Symmetric Multi Processing 


A tech.net magazin is csak egy gép. Ha több processzort , dugunk bele", a meglévőkön is csök- 
ken a terhelés, és az egész masina gyorsabban jár. A megoldás kulcsa tehát a nyitásban kere- 
sendő. Processzorokat keresünk! 

Nemcsak meglévő ötleteink kivitelezésére keresünk vállalkozókat, hanem olyan témakörökben 
is segítséget várunk, amelyek nem esnek a NetAcademia érdeklődésének homlokterébe, így - 
lelkesültség híján — nem foglalkozunk velük. 

A folyamat egyébként elindult: jelen számunk több ilyen, külsős által készített cikket is tartal- 
maz. Ajánlom figyelmükbe az , ismeretlen" szerzők cikkeit! 

Az alábbi Task Manager néhány példát mutat a ,gép" által fel nem dolgozott feladatokról. 
Van olyan téma, ami közel áll a szívéhez? Nagyon 
ért hozzá? Szívesen megosztaná másokkal is? Ha 
ezekre a kérdésekre csupa IGEN a válasz, kellő elhi- 
vatottságot érez, hogy cikkeket írjon magazinunkba, 
vegye fel velünk a kapcsolatot! 


SZAZ ezés 1 


Várunk minden olyan jelentkezőt, aki szeretné szín- 
vonalas szakmai cikkeivel magazinunk palettáját 
színesíteni, tudását másoknak átadni! További infor- 
máció: http://technet.netacademia.net/cikktipp.asp 


[d A tech.net magazin Feladatkezelőjében jól 
látható, hogy bizonyos témakörökre nem 


adunk választ... 


Fóti Marcell 


marcellfonetacademia.net 


Uniprocessor Kernel 
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Farkasokkal táncoló II. - Cluster a gyakorlatban 


Eléggé alaposan ismerjük már a Windows 2000 fürtszolgáltatását. Látjuk a korlátait, 
és minél előbb meg szeretnénk szabadulni tőlük. Néhány bosszantó hiba megoldásért 
kiált. A Microsoft végre kiadta az SP3 javítócsomagot, amely ingyenesen tupírozza 
fürtjeinket. Aki ennél többre vágyik, annak ízelítőt adunk a Windows .Net Serverben 
található fürt újdonságairól. 

ft niria] 
T.Uludi 





Különböző DIIS névterek és 
az Active Directory telepítése 


Eltérő névterű Active Directory fa telepítése egy már meglévő erdőbe. Aki tisztában 
van a DDNS és az AD együttműködésével, annak ez nem jelent problémát. De mi 
van azokkal akiknek ez ismeretlen terület?! 
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A Windows AP Professional megbízhatóságával 
kapcsolatos fejlesztések 


Hivatalos Microsoft-tanulmány 


Napjainkban a vállalkozások számára kritikus fontosságú a számítógépes rendszer 
megbízhatósága és rendelkezésre állása. A Microsoft Windows 2000 Professional 
operációs rendszere új szintet jelent az asztali rendszerek megbízhatóságának tekin- 
tetében. A Windows XP Professional a Windows 2000 kódjára épül, amely biztosítja a 32 bites architektúrát, és a védett me- 
mória-modellt. A Windows XP új fejlesztéseinek köszönhetően a Windows eddigi legmegbízhatóbb verziója lett. 


10. oldal 





A Microsoft és a biztonság 


A vállalkozások világszerte arra törekszenek, hogy biztosítsák az információk elérését, növeljék a 
termelékenységet, illetve a lehető leggyorsabban nyújtsanak szolgáltatásokat — mindezt a lehető 
legkedvezőbb áron. A partnerekkel, szállítókkal, ügyfelekkel és munkatársakkal való kapcsolattar- 
tás lehetősége időponttól és helytől függetlenül alapkövetelmény. Elmúltak már azok az idők, ami- 
kor csak a kiválasztottak szűk csoportja férhetett hozzá az üzleti alkalmazásokhoz és adatokhoz. 


14 olda 


PKI felhasználói szemmel 


Az előző számban igyekeztünk töviről hegyire bemutatni a nyílt kulcsú architektúra 
elemeit és előnyeit, de egy valamiről nem volt szó: ő pedig a felhasználó. A sok elmé- 
let után lássuk a gyakorlatot: hogyan használhatjuk fel a Windows nyílt kulcsú archi- 
tektúráját a napi munkánk során? Kalandozásainkhoz egy Windows 2000 tartomány 
magyar Windows XP munkaállomását hívjuk segítségül. 


el.old 









Az IPSec és a tanúsítványok 


Nyáron indult IPSec cikksorozatunkban eljutottunk az [S 
IPSec csatorna felépítéséig, de nem szóltunk részletesen 

a tanúsítványalapú azonosítási üzemmódról. Később a VPN 
cikksorozat L2TP-vel foglalkozó részében már bemutattuk az 
IPSec ezen üzemmódját, mégis úgy gondoljuk, jó, ha tisztán 

az IPSecre koncentrálva, a PKI jegyében újra összefoglaljuk a 
tudnivalókat. 






Authentication Method 
To add multole authentcatton methodz. ed the secutty rue after completing the 
1P Security rule wizard. 







Setthe initial authentication method for thiz seciuity rule 
€ Active Directory default (Kerberos V5 protocol) 
G7 Uze a certificate hom this certication authorty (AI 










€ Uze this atting to protect ÉJTENESET 





Select the certficatlon authoríty that you regure for IPSec authentieatlon when 
using this securíty re, 
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A rendszergazda esete a PDlromedJálr]-val 








Jó évtizedes termék a magyar piacon egy érdekes elektronikus kütyü, a menedzserkalkulátor. Ez a ! 0. 
zsebszámológép méretű eszköz a számológépfunkciók mellett neveket, telefonszámokat tudott tá- ! e. 
rolni, illetve egy ébresztőóra is megtalálható volt benne, majd a fejlettebb modellekben egyszerű s tj 
határidőnapló-funkciók is megjelentek. ma 
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7 NETALADETA MESTERÜRZUSOK — 2003. Tavaszi program 


MesterOrzus rendezvényünkön bepillantást nyerhetnek a NetAcademia oktatási tevékenységébe. 
Jöjjön el, legyen jelen legújabb cikkeink, workshopjaink, előadásaink születésénél! 
A tavaszi előadások vendégelőadói értékes ajándékokkal is meglepik a kedves résztvevőket! 









Az UL — 3.rész 


Az UML témát folytatva tovább boncolgatom a biliárd játékot, újabb GYYAN 
lépésekkel közelebb kerülve a kész programhoz. E a 
Az elmúlt hónapban eljutottunk a követelményspecifikáción, a fizikai 
részleteken és a használati eseteken keresztül az osztályok leírásáig. jllliés 
Innen szeretném most folytatni. 


A 


Programkezelő 


Én és a . ET 


Számítógépbarátként és amatőr programozóként szeretném megosztani Önökkel annak a történe- 
tét, hogy hogyan készült el első .NET-es programom. A történet kicsit hosszabb és nem olyan sok 
benne a .NET, de talán a többi része is szolgál némi tanulsággal a modern digitális eszközökről. 


j8.oldal 





Code Access Security a .ET keretrendszerben 


A Windows NT-2000-XP és a legtöbb operációs rendszer biztonsági rendszere felhasználóala- 
pú, azaz egy kód eredő jogosultságát az őt futtató felhasználó jogosultságai 

határozzák meg. Ez remekül működött egészen addig, amíg nem volt Internet, nem 

voltak komponensalapú és elosztott alkalmazások. Azonban az adminisztrátorok 

és hiszékeny felhasználók nevében ténykedő vírusok felhívták arra a figyelmet, hogy 

ez a biztonsági modell nem képes helytállni a mobil, innen-onnan letöltődő kódok világában. 
Itt volt az ideje, hogy megjelenjen valami más, ... a Code Access Security. 


40.oldal 








- Clustera gyakorlatban / farkasok 


Farkasokkal táncoló III. 


Farkasokkal táncoló A!!! . 


Cluster a gyakorlatban 


Eléggé alaposan ismerjük már a Windows 2000 fürtszolgáltatását. Látjuk a korlátait, és minél előbb 
meg szeretnénk szabadulni tőlük. Néhány bosszantó hiba megoldásért kiált. A Microsoft végre kiadta 
az SP3 javítócsomagot, amely ingyenesen tupírozza fürtjeinket. Aki ennél többre vágyik, annak ízelí- 
tőt adunk a Windows .Net Serverben található fürt újdonságairól. 


Windows 2000 SP3 


Izgalmas diskurzus folyt 1999 végén, amikor napvilágot látott 
egy féligazságokat tartalmazó hír, miszerint a megjelenő Win- 
dows 2000 több tízezer hibát tartalmaz majd. Alátámasztani 
látszott ezt az is, hogy a Microsoft a Windows NT kódját 70- 
8099-ban újraírta. Akkor ez remek módszer volt a kétkedők 
meg- és elriasztására. A valóság azonban az, hogy a Windows 
2000 siker lett, és igazolódott a Microsoft stratégiája, amikor 
saját szabványainak erőltetése helyett az Internetes közösség 
ajánlásait kezdte használni. A DNS jobb, mint a NetBIOS, a 
Kerberos biztonságosabb, mint az NTLM, az LDAP (felületű) 
címtár nyitottabb, mint az NT4 tartománymodellje. A sok tíze- 
zer hibáról szóló hír feledésbe merült. 

Pedig hibák azért maradtak. Ha nem is olyan sok, az a 6-800 
hiba, amit az S$P3 orvosol, épp elég bosszúságot tudott okozni 
a rendszergazdáknak. A harmadik javítócsomag 17, az SP2 
megjelenése óta előkerült hibát javít, amelyek így-vagy úgy 
kapcsolatban vannak a fürtszolgáltatással. Kijavították többek 
között azt az ominózus NTLM hitelesítési problémát is, amely 
annak idején felborította a mi vállalatunk egyik kiszolgálófürt- 
jét. (Később lesz még szó arról, hogy ennek ellenére miért nem 
vagyok még mindig teljesen elégedett.) A javításokat tartalma- 
zó tudásbázis cikkeket az ismertető végén felsorolom. Most 
csak eggyel foglalkozom, amely nem is igazán hibát, mint in- 
kább fogyatékosságot javít. A 0235529 cikk szerint az SP3-tól 
a virtuális szerverek is képesek a Kerberos hitelesítésre. 

Az újdonság az első lépés a virtuális szerverek emancipációjá- 
nak útján. Nincs másról szó, mint a régi szabványok lefejtésé- 
ről, ezzel együtt új képességek beindításáról. A fürtszolgáltatás, 
úgy tűnik, mindig egy lépéssel az újdonságok mögött jár. Az 
eredeti Windows 2000 fürt, akárcsak a korábbi NT4 verzió, le- 
mezszignatúrákat használ, nem ismeri a dinamikus diszkeket, 
a lemezcsatolás módszerét, ragaszkodik a lemezek betűjelei- 
hez, NTLM hitelesítést alkalmaz, az FRS szolgáltatással hadilá- 
bon áll, még a telepítése is olyan , NT4 szagú". A sok hiányos- 
ságból most az egyik, a hitelesítés, kicsit közelít a ,normális" 
Windows 2000 szintjéhez. 

Csodákat persze ne várjunk. Először is a fürtre felkészített al- 
kalmazások, mint például az Exchange 2000 vagy az SOL 
2000 nem ismerik még ezt a lehetőséget, tehát nem is használ- 
ják, vagy ha igen, a hibamentesség nem garantált. Meg kell 
várnunk az alkalmazások következő javítócsomagját is. 
Másodszor, az FRS szolgáltatás továbbra sem fogja másolni a 
fürtözött megosztáson található állományokat az elosztott fájl- 
rendszer hivatkozásaira, mert az FRS csak a helyi állomás (no- 
de) AD objektumát ellenőrzi, a virtuális szerverét nem. 

Két fogyatékosságot azonban orvosol a Kerberos támogatás. Az 
első az állomány- és nyomtató-kiszolgálás, valamint a Messa- 


ge Oueuing Service, tehát a belső, Windows 2000 építőelemek 
hitelesítési metódusának gondja. A másik az MSI csomagok ki- 
ajánlásának zűrzavara. Eddig ugyanis nem lehetett MSI csoma- 
gokat GPO-val kiajánlani számítógépeknek fürtözött megosz- 
tásokon keresztül, mert egy számítógép (ha az legalább Win- 
dows 2000 operációs rendszerrel rendelkezik) csak Kerberos 
módszerrel hitelesíti magát, NTLM-mel nem! A Kerberost vi- 
szont nem értette a fürt. 

A Kerberos hitelesítés bevezetése egyúttal szorosabb fürt-AD 
integrációt is jelent, ami új hibalehetőségeket eredményez. 
Ajánlom, hogy mindenki alaposan tanulmányozza át a 
0235529-es cikket, mielőtt a clusterének esik. Végeredmény- 
ben megállapíthatjuk, hogy a farkasfalka hátránya a ,mezei" 
szerverekhez képes csökkent, de még létezik. 


Fürtszolgáltatás a .Net Serverben 


Mire ez az írás az Olvasóhoz kerül, talán már meg is jelent a 
legújabb Microsoft kiszolgáló, a .Net Server. A verziószámát 
megvizsgálva látszólag csak egy kevésbé módosított kiadásról 
van szó, ám a hozzáértők tudják, hogy egy alaposan megújított 
termékkel állunk szemben. Igaz ez a fürtszolgáltatásra is — a to- 
vábbiakban csak a témához kapcsolódó újdonságokkal foglal- 
kozunk. Volt alkalmam egy valódi .Net kiszolgálófürtöt tesztel- 
ni, igaz csak a Béta 3-as verziót. A végleges változat itt-ott el- 
térhet a leírtaktól, nagyobb változásra azonban nem számítok. 
A fürt belső felépítése nem sokat változott, még ha első pilla- 
natra ez másképp is látszik. A bal oldali ábrán a Windows 
2000, a jobboldalin a .Net kiszolgáló fürtjének belső felépíté- 
sét látjuk. A lényeges különbség, hogy tisztább fogalommá 
vált a ,fürtre felkészített alkalmazás", amelynek a Cluster API 
ismerete helyett inkább saját erőforráskönyvtárral kell rendel 
keznie. 





Custer amáró 
apolcationt 





4 








































































































E A Windows 2000 és a .Net server fürtszolgáltatásának 
belső szerkezete 





B 


Az új terméknek változott az elnevezése és három helyett már 
négy tagból áll a család. Minket kizárólag a Microsoft Win- 
dows .Net Server Enterprise Edition és Datacenter Edition érde- 
kel, mert csak ezek rendelkeznek az általunk kedvelt fürtszol- 
gáltatással. Az Enterprise Edition a Windows 2000 Advanced 
Server utódja, a Datacenter neve változatlan. 

A fejlesztők kitettek magukért, hogy a fürt minél nagyobbra nö- 
vekedhessen. Az Enterprise Edition 4, a Datacenter fürt pedig 
akár 8 állomást is tartalmazhat. Üröm az örömben, hogy ez a 
képességük csak akkor érhető el, ha a fürtöt kizárólag .Net ki- 
szolgálók alkotják. Vegyes W2K-.Net fürtben a Windows 2000 
által meghatározott korlátok érvényesek. 


Fürtmodellek 


Szintén izgalmas, hogy a korábbi egyetlen támogatott modell 
helyett már háromfélét is létrehozhatunk. A modellek techni- 
kai értelemben a guorum erőforrás kezelésében térnek el. A 
legegyszerűbb (és a Windows 2000-ben szőrmentén már lé- 
tező) változat az egyállomásos modell. Ezt leginkább tesztelé- 
si célokra, fejlesztésre érdemes használni. Az új szoftver ab- 
ban tér el az előző verziótól, hogy támogat egy ún. helyi gu- 
orum erőforrást (Local guorum resource), ezt telepítéskor vá- 
laszthatjuk. 

A második modellt akkor alkalmazzuk, ha a fürt kialakításakor 
az ,egyetlen guorum" erőforrástípust (Single guorum resour- 
ce) választjuk. Ez a klasszikus, általunk már eléggé jól ismert 
változat. 

A harmadik modell teljesen új, nincs előzménye. Angol elne- 
vezése , Majority node set", amit a , Közös állomáscsoport" ki- 
fejezés adhatna korántsem tökéletesen vissza. Hogy miért is 
nem, az rögtön látható lesz. 


A , majority node set" modell 


A Windows 2000 fürt viszonylag olcsó megoldást nyújt a ma- 
gas rendelkezésre állású szolgáltatások létrehozására, van 
azonban egy gyenge pontja (Achilles sarka): a lemezerőforrá- 
sokból és a lemezekből csupán egyetlen létezik. Ha a lemez- 
alrendszer megsérül, leáll, vagy megsemmisül, semmit sem te- 
hetünk. A fürt által követett modell nem alkalmas katasztrófák 
kiheverésére, más megoldást kell keresnünk a problémára. 

A ,Majority node set" modell ezt a gondot orvosolja. A fürt tag- 
jai fizikailag távol helyezkedhetnek el egymástól, mindegyikük 
egy saját guorum erőforrást kezel, és a fürt megoldja a szinkro- 
nizációt. 








Ouorum data Ouorum data Ouorurn data Ouorum data 
(local storage (local storage (local storage (local storage 
device) device) device) device) 





d A , majority node set" modell 


A figyelmes olvasó észreveheti, hogy a rajzról hiányzik a való- 
di adatokat, például az SOL adatbázist tartalmazó lemeztömb. 
Nem véletlenül. A modell csak a guorum konzisztenciájáról 
gondoskodik. Az adatok több helyen való rendelkezésre állá- 


sát nekünk, pontosabban a megoldást szállítónak kell megszer- 
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veznie. A megoldás többféle lehet, használható az 
SOL szerver , database log shipping" funkciója vagy 
egy tárolórendszer (pl. EMC Clariion, IBM Fast 500, 
Shark stb.) távoli tükrözés technológiája. A .Net ki- 
szolgálók csak a modellt nyújtják, valódi tartalommal 
a szállítók fogják megtölteni a maguk egyedi megoldásával. 
(Mindebből az is következik, hogy ezt a modellt nem tudtam 
tesztelni, amit nagyon sajnálok.) 

A majority node setnek van egy komoly hátránya, a redundan- 
cia csökkenése. Míg az ,egyetlen guorum" elven kialakított 
fürt esetében, ha egy virtuális szervernek négy lehetséges állo- 
más az üzemeltetője, a szolgáltatás az utolsó szerver leállásá- 
ig működik, addig a ,majority node set" sérülékenyebb. A fürt- 
tagok többségének működnie kell (talán innen a név?). Hogy 
mikor mennyi kiszolgálónak kell üzemben lennie, azt az aláb- 
bi táblázat mutatja: 
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A számokból az is kiderül, hogy amennyiben katasztrófatűrő 
rendszert szeretnénk kialakítani, legjobb lesz, ha mindjárt há- 
rom, földrajzilag elkülönült telephelyben gondolkodunk. Ha 
csupán két telephelyünk van, előfordulhat, hogy éppen a több 
kiszolgálót tartalmazó csoportunk esik ki, ez pedig a fürtünk 
végét is jelenti. 


Frissítési útvonalak 


A fürtszolgáltatás a Windows NT 4.0 Enterprise Edition SP3 
verzióban jelent meg. Már az első fürtök is alkalmasak voltak 
az operációs rendszerek ,működés közben" történő frissítésé- 
re. Ez dióhéjban annyit jelent, hogy minden erőforrást át kel- 
lett mozgatni az egyik állomásra, a passzív node-on pedig el 
lehetett végezni a verzióváltást. Ezután a szerepek cseréjével a 
másik állomáson is végre lehetett hajtani a frissítést. A mód- 
szert angolul , rolling upgrade"-nek nevezik, és természetesen 
a .Net kiszolgálók is képesek erre. Megkötés azonban, hogy a 
frissítés csak Windows 2000-ről indítható, NT4 és .Net kiszol- 
gáló nem alkothat egy fürtöt. A vegyes üzemmódban való mű- 
ködés lehetőségéről a cluster.log is árulkodik. A módszer a ko- 
rábbi elemzésekből ismerős, csak a verziószámok változtak: 





További megkötés a frissítési lehetőségeknél, hogy a .Net En- 
terprise Edition nem cserélhető le a fenti módszerrel .Net Da- 
tacenter fürtre. A kiszolgálók eltérő hardverkorlátai és a Data- 
center támogatási politikája ezt érthetővé teszi, mégis kár, hogy 
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- Cluster a gyakorlatban / Farkasok 


Farkasokkal táncoló XIII. 


nem létezik ilyen út. A ,semmi sem közös" elv 
ugyanis ,megoldja", hogy hibák továbbhurcolása 
nélkül lehetőség legyen a szolgáltatás folyamatos 
biztosítása mellett a verzióváltásra. 


Kerberos támogatás 


Bár az eredeti Windows 2000 fürt még nem támogatta ezt a hi- 
telesítési módot, a cikk első részéből tudjuk, hogy az SP3 javí- 
tócsomag változtatott a helyzeten. Ehhez képest a funkció nem 
gazdagodott a .Net kiszolgálóban, legfeljebb annyi a változás, 
hogy a parancssori felületet felváltotta a grafikus. A hálózati 
néverőforrás tulajdonságlapján lehet a beállításokat elvégezni. 
Feltétel, hogy a hálózati néverőforrás a beállításkor ne mű- 
ködjön. A Kerberos bekapcsolás ezért némi szolgáltatás-kiesést 
jelent. 
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Id Kerberos támogatás a .Net Serverben 


Egy apró változás a ,Rename.." gomb megjelenése. A Win- 
dows 2000, amely nem hoz létre objektumot az Active Direc- 
toryban a virtuális szerver nevéhez, egyszerűen oldotta meg az 
átnevezést: ezen a lapon át kellett írni a nevet és kész. A .Net 
kiszolgálónak az átnevezéssel az AD objektum változtatását is 
el kell végeznie. Ezt a kódot indítjuk meg az új gombbal. 

A Kerberos témaköréhez tartozik a fürt-FRS integráció is. Saj- 
nos a Béta 3 verzió sem tudta a virtuális szervereken létreho- 
zott megosztások replikálását elvégezni az FRS komponens- 
sel. Pedig igen nagy szükség lenne rá, mert nem kevés sávszé- 
lességet lehetne megtakarítani a több helyen, konzisztens ál- 
lapotban tartott megosztásokkal. Izgatottan várom, hogy a 
végleges verzió képes lesz-e erre a mutatványra. Csak nehogy 
a , majority node set" modellre hivatkozva hagyják ki a fürtből 
ezt a tudást. 


64 bites verzió 


A Windows .Net Server az első, kereskedelmi forgalomban is 
kapható Windows verzió, amely már 64 bites változatban is el- 
érhető. A memóriát korlátlanul faló alkalmazások és az őket tá- 
mogató rendszergazdák számára ez mindenképp jó hír. A fürt 
fejlesztői azonban ennél a változatnál is fáziskésésben vannak, 
és a , magában álló" kiszolgálókhoz képest néhány megkötést 
tartalmaznak. 


? 


Az első az, hogy a fürtben nem keverhető a 32 és a 64 bites 
verzió. Úgy vélem, technikai akadálya nem lenne a vegyes für- 
tök üzemelésének, ám az eltérő korlátok, valamint az operáci- 
ós rendszer felett dolgozó alkalmazások kiszámíthatatlan visel- 
kedése miatt ezt a konfigurációt lehetetlenné tették. Kár, mert 
így nem lesz zökkenőmentes az áttérés a 32 bites platformról 
a 64 bitesre. 

A másik korlát a lemezkezelés. 64 bites környezetben a leme- 
zek kezelésére két mód van. Particionálhatjuk őket a hagyo- 
mányos módon Master Boot Recordot használva, vagy alkal- 
mazhatjuk az új GUID Partition Table (GPT) szervezést, 
amely lemezenként 128 partíciót, 18 Exabyte-os köteteket és 
még sok mást tesz lehetővé. Nos, ahogy a 32 bites környezet- 
ben a fürtöknél nem alkalmazhatóak a dinamikus lemezek, 
ugyanúgy nem használhatók a GPT diszkek 64-en. Nem kell 
ezt olyan vészes korlátnak érezni. A dinamikus lemezek nyúj- 
totta redundanciát mindig ki lehet váltani hardveres megol- 
dással. A helyzet leginkább ahhoz hasonlít, amikor néhány 
autógyártó nem hajlandó klímát adni 1.4-es vagy kisebb mo- 
torral szerelt konstrukciókhoz. Azzal érvelnek, hogy a klíma 
lomhává teszi a gyengébb motorokat, ez pedig rontaná a cég 
jóhírét. Aki klímát akar, vegyen nagyobb autót. Windows 
2000-nél: aki redundáns lemezeket akar (és ki lenne, aki nem 
szeretne ilyet a fürtjei alá), vegyen hardveres megoldást, az 
kellően gyors lesz. 

Lenne még egy harmadik korlát is, de emiatt nem bánkódom. 
A 64 bites verzió csak a Fibre Channel csatolású tároló alrend- 
szereket támogatja, az SCSI buszokat nem. Már egy évvel ez- 
előtt lehetett látni, hogy a Fibre Channelé lesz a jövő. Ezzel 
együtt vége a ,deszka cluster" próbálkozásoknak, legalábbis 
64 biten. 


Csatolt kötetek (mounted disk) 


Ha a dinamikus lemezek hiánya nem is jelentett komoly prob- 
lémát, azért volt olyan, lemezekkel kapcsolatos Windows 
2000 fejlesztés, amely nagyon hiányzott: a csatolt kötetek le- 
hetősége. Ennek hiányában minden egyes lemez egy újabb be- 
tűjelet emésztett fel. Az A, B, C és D jeleket foglaltnak tekint- 
ve, továbbá a guorum számára a O jelent fenntartva csupán 20 
betű maradt, ami nem túl sok. Egy Windows 2000 Datacenter 
Server 3 aktív Exchange 2000 virtuális szerverrel bizony zavar- 
ba jött. Ráadásul a kötetek egyszerű bővítésének lehetőségétől 
is elestünk. 


Nos, az új verzió segít rajtunk, és végre használhatjuk ezt a 
funkciót, ha néhány szabályt betartunk: 
1. Egy lemezt csak egy helyre csatoljunk 
2. Ne csatoljuk a lemezeket az állomások helyi meghajtóihoz 
3. Ne csatoljuk a guorum lemezt sehová 
4.A csatolt lemeznek ugyanahhoz az erőforráscsoporthoz 
kell tartoznia, mint ahová csatoltuk. 


Erőforrások születése és halála 


A Windows 2000-hez képest újdonság a , Generic Script" erő- 
forrástípus. A korábbiaktól eltérően ez a típus fogja biztosítani 
a fürtözött http és ftp szolgáltatást. A 9YosystemrootyoN 
system32Vnetsrv. könyvtárban található egy clusweb.vbs és 
egy clusítp.vbs script, amelyek közül a megfelelőt hozzá kell 
rendelni az erőforráshoz. Kikerült a támogatott erőforrások kö- 
zül az SMTP és az NNTP. Bizonyára kevesen használták. Ha 
valaki mégis hiányolná őket, akkor információim szerint a .Net 
Server Resource Kitben hozzájuthat a szükséges állományok- 
hoz, további telepítési instrukciókhoz. 
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Finomhangolás 


A pár órás tesztelés alatt számtalan olyan újítással találkoztam, 
amely könnyít a rendszergazdákon, a változásokat azonban in- 
kább evolúciósnak nevezném, mint forradalminak. A furcsasá- 
gok mindjárt a telepítéssel kezdődtek. A fürtszolgáltatás már 
nem egy telepíthető komponens. Minden eleme megtalálható 
a kiszolgálón, nekünk csak életre kell keltenünk a szolgáltatást. 
A műveletet a cluster administrator indításával tehetjük meg, 
amely az alábbi apró panel feldobásával kezdi a munkáját. 


CEN ztee eti or 
Action: 


[Open connection to cluster r] 






Create new clustet 





[Add nodes to cluster 
Open connection to cluster 






Ed Telepítés helyett létrehozás 


A Windows NT4 utánérzést teljesen megszüntették a fejlesz- 
tők, egy ízig-vérig W2K, illetve most már .Net varázsló indul 
el. Pár egyszerű kérdésre kell válaszolnunk, (Mi a fürt neve, a 
tartomány, amelyben létrehozzuk stb.). 

A létrehozás és konfigurálás eljárásrendje leginkább az Ex- 
change 2000 telepítésére emlékeztetett, bár még annál is pre- 
cízebb és követhetőbb volt. 







Analyzing Configuration 
Please wait while the wizard determines the cluster configuration. 





(.MiewLog. [/. Detatz [/ Reenayze 


Click Next to continue. Click Back to change the configuration. 
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ki Egy hibátlan fürtkészítés 


Az elvégzett fő telepítési tevékenységek nem csak láthatók, 
hanem részekre is bonthatók. Ezt szolgálják az apró ,,4-" gom- 
bok is a varázsló képernyőjén. Ha ezt kevésnek gondoljuk, 
mind a létrehozás, mind a csatlakozás során használható a te- 
lepítési napló részletes nézete (a képen a Details gomb meg- 
nyomásával). 

A teszt során nem ütköztünk különösebb problémába, csupa 
tájékoztató jellegű üzenettel találkoztunk, a ,Details..." csak 
arra volt jó, hogy elszakadjunk a villámgyors varázslótól. Nem 
volt módom megbecsülni, hogy mennyi esemény történik egy 
ilyen fürt életre keltése alkalmával, de vélhetőleg több százról 
van szó. 

Hibamentes telepítéskor persze a funkciót nem használjuk, az 
élet azonban néha rögösebb, és remek dolognak tartom, hogy 
minden egyes lépést utólag meg lehet vizsgálni. Nemcsak a 
részletes nézet segít ebben, hanem egy külön erre a célra ké- 
szített telepítési napló is. Erre szolgál a ,view log" gomb a te- 
lepítőképernyőn. 
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Task Details 


Date: 9/6/2002 

Timg: 12:42-03 PM 
Computer: alba-netl.alba. priv 
Majortask ID: ( 





Minor task ID: (E25968DA-9C7B-42DB-ADA9-BC4E34F17EGE) 
Progress: 0.1.0 (min, max, current) 


Desciti 


E cluster 


Status: 0x00000000 


he operation completed successíully. 


tional informati 
For more information, visit Help and Support Services at 
://go.mic ta fvlink Z2Lir z 





Id A létrehozás egyik művelete 


A következő szép megoldás a megosztás erőforrás létrehozása- 
kor a cache beállítások elérése. A Windows 2000-ben új funk- 
ciót az akkori adminisztrátor felület nem ismerte. Amit akkor 
írtam, az most is áll: a fürtözött könyvtárak létrehozása nem 
más, mint egy kacifántos mappamegosztás. Csakhogy a Win- 
dows 2000 kiegészítette ezt a szolgáltatást. A rendszergazda 
megadhatja, hogy a felhasználók (amennyiben legalább Win- 
dows 2000 Professional rendszerrel rendelkeznek), hogyan ér- 
jék el az állományokat, amikor nincsenek a hálózaton, vagyis 
milyen cache-elési tulajdonságokkal bírjon egy megosztás. A 
.Net kiszolgáló fürtje követte a trendet (avagy: igyekszik ledol- 
gozni a hátrányát), és a fürtözött megosztást létrehozó varázs- 
ló képernyőjén megjelent az a gomb, amely a korábban már 
megszokott cache párbeszédpanelhez juttat el minket. Apró- 
ságnak tűnhet ez a dolog, ám az a tapasztalatom, hogy ami 
nincs szem előtt, azt könnyen elfelejtjük. 

Ennél lényegesebb változás történt a szívhang (heartbeat) for- 
galom szervezésében. Ahogy azt már tudjuk, a szívhang arra 
való, hogy az állomások tudjanak egymásról, és másodpercre 
pontosan tartsák a tudásukat, hogy mely állomás működik sza- 
bályszerűen. Ha a szívhang kihagy, az állomások a beállított 
szabályok szerint (és bizonyos várakozási idő után) átveszik a 
hibás eszköztől a szolgáltatásokat. A hálózati forgalmat növeli, 
hogy a jelenlét mellett az állomások a fürtben bekövetkezett 
változásokat is a többiek tudomására hozzák. Két állomás ese- 
tén még igazi hálózatra sincs szükség, elegendő egy fordított 
kábel az összeköttetésre. Három, négy, sőt akár nyolc fürtállo- 
más működésekor, főleg, ha földrajzilag elosztott környezetről 
van szó, a minden másodpercben megjelenő forgalom már te- 
temes lehet. A kiszolgáló súgója tartalmaz egy számítást arról, 
hogy ,mennyi a sok". Nyolc állomás forgalma közelítőleg 
168000 üzenet óránként, ha a hagyományos módon adják a 
szívhangot. A .Net kiszolgáló megjelenésével azonban tehet- 
nek másképp is. Lehetőség van a hagyományos unicast háló- 
zati forgalom helyett multicastot választani. A hálózati terhe- 
léselosztás fürtnél (NLBS) a már ismert módszert használhat- 
juk. Az egyetlen küldő hálózati csomagját mindenki feldolgoz- 
za, aki a megfelelő multicast címmel dolgozik, nem kell min- 
denkinek egyesével elküldeni az adatokat. A 168000 üzenet 
így 24000-re redukálódhat, ami valóban jelentős csökkenés. 
Lássuk be, hogy erre a funkcióra a Windows 2000 Advanced 
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- Cluster a gyakorlatban / Farkasok 


Farkasokkal táncoló KIII. 


Server esetében nem volt szükség, mert az állomások 
száma ezt nem indokolta. 

A funkció használatára vonatkozó szabályok hason- 
lítanak a korábbiakhoz. Vegyes környezetben multi- 
cast nem használható, két fürt esetében pedig az üze- 
netváltás automatikusan a hagyományos, unicast módszerrel 
történik. 

A megújuló funkciók felsorolását egy kellemes felfedezéssel fe- 
jezem be. Az előző cikkben azon elmélkedtünk, hogyan tehe- 
tik a fürt fejlesztői könnyebbé a szolgáltatást üzemeltető kollé- 
gák munkáját. Két lehetőséget említettem, amelyek közül az 
egyiket a Microsoft is felismerte. A Windows 2000 szerverhez 
képest jelentősen bővült azon események száma, amelyek az 
eseménynaplóba is bekerülnek. 












Event Properties 


Event ] 


Date: 976/2002 


Source:  ClusSve 
Time: 1:54-02PM  Category: Node Mgr 


Type: Waming 
User NZA 
Computer: ALBA-NET2 


EventID: 1135 





Desciiptiorc 

Custer node ALBA-NETT was removed from the active server cluster 
membership. Cluster service may have been stopped on the node, the 
node may have failed, or the node may have lost commurication with the 
other active server cluster nodes. 







For more information, see Help and Support Center at 
Ihttp://ao.microsoft comlfwlinkZevents. asp. 





[3 Ilyen bejegyzés Windows 2000-ben nem látható 


Nem fog gondot okozni az olyan események észlelése, mint 
egy erőforráscsoport átköltözése egy másik állomásra, vagy 
akár egy erőforrás automatikus újraindulása. 


Ami hiányzik - további teendők 


A sok szép, jó és hasznos szolgáltatás és fejlesztés mellett bi- 
zony akadt jó néhány olyan funkció, amelyet hiányoltam. 
Úgy gondolom, hogy a virtuális szerverek egyenrangúsítása 
még nem fejeződött be. Szemeim előtt egy olyan erőforráscso- 
port áll, amelyben bármilyen, az operációs rendszer által nyúj- 
tott szolgáltatás definiálható, ha annak nincs saját, magas ren- 
delkezésre állást biztosító technológiája. Így nem várom el, 
hogy az AD, GC vagy DNS tevékenységeket fürtözni lehessen, 
ugyanakkor elvárható, hogy egy RIS, vagy FRS igenis lehessen 
választható erőforrás. 

A többször emlegetett DFS-FRS-Cluster összehangolás kritikus 
feladat. Ez ugyanis nemcsak magas rendelkezésre állást, ha- 
nem hézagmentes transzparenciát is biztosítana a hálózatnak, 
amit az üzemeltetőknek most kézzel kell összevarrni. 

Sokan bizonyára az NLBS--cluster azonos állomáson való 
használatát hiányolják. Ezt vélhetően biztonsági és méretezési 
nehézségek miatt nem is teszik lehetővé — habár a Microsoft 
helyett nem nyilatkozhatom. 

Gyenge pontnak érzem ugyanakkor az IPv6 támogatást. Ezt a 


.Net kiszolgálók már tudják, de a fürt paneljei arról tanúskod- 
nak, hogy a clusterfejlesztők nem gondolkodnak az új szab- 
ványban. De nemcsak abban nem. Ugyan tesztelni nem tud- 
tam, de kíváncsi lennék, hogy működik-e a fürt kizárólag Ker- 
beros hitelesítéssel. Attól tartok: nem. A szituáció emlékeztet 
az NTLM kontra NTLMv2 esetre. A programozók újra csak 
kullognak az új lehetőségek után, régi, avuló szabványokat 
használva. 

Végezetül beszélnünk kell a cluster.1og dokumentálatlanságá- 
ról. A .Net Resource Kitet ugyan nem láttam, s talán ott több se- 
gítségünk lesz, ám egyelőre úgy tűnik, a leghatékonyabb diag- 
nosztizáló eszközhöz továbbra sincs korrekt referencia. 


Végszó 

Új szoftverek ismertetésekor általában úgy fejezik be a cikke- 
ket, hogy tanácsokat adnak, kinek érdemes áttérnie. Ha lehet- 
séges, ilyen javaslatoktól tartózkodom. Technikai újságban fu- 
ra lehet ezt olvasni, mégis a szabály az, hogy akkor váltsunk, 
ha az üzlet így kívánja. Ha olyan elvárásokat fogalmaz meg ve- 
lünk szemben az (üzleti) vezetés, amelyet a már meglévő Win- 
dows 2000 fürtünkkel nem tudunk megvalósítani. Persze nem 
árt a kompatibilitási mátrixokat alaposan átnézni. 

Ha azonban valaki új fürtöt hoz létre, bátran mondom, hogy 
ne habozzék. A fiatalabb falkatagoknak élesebb a foguk. 


Lepenye Tamás, MCSE 2000 
lepenyetemal.hu 


(Köszönöm az Albacomp Rt.-nek és munkatársainak, hogy se- 
gítettek a teszt körülményeinek megteremtésében és aktívan 
közreműködtek a lebonyolításában.) 
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különböző DÍl5 névterek és az 
Active Directory telepítése E 


Eltérő névterű Active Directory fa telepítése egy már meglévő erdőbe. Aki tisztában van a DDNS és az AD 
együttműködésével, annak ez nem jelent problémát. De mi van azokkal akiknek ez ismeretlen terület?! 


Bizonyára sokan túl vannak már az első egyszerű Active Direc- 
tory telepítésükön, amikor is sikeresen létrehoztak egy új erdőt 
a benne álló egyetlen fácskával és örültek, hogy minden reme- 
kül működik. Pedig az ,erdő" szó valójában egy bonyolultabb 
szervezetet sugall — ha nem is mindjárt egy egész faiskolát — de 
minimum kettő vagy több domain együttműködését biztosan. 
Ezen belül konfigurációjuk, schema-juk és globális katalógusa- 
ik megosztását, amire azután az összes AD szolgáltatás tá- 
maszkodik majd. 


Mi történik akkor, hogyha az egyesítésre váró két domain 
egymástól eltérő névteret alkot (például .org és .hu)? 


Itt kiemelt szerepet kap az Active Directory szempontjából 
annyira fontos szolgáltatás, a DDNS. Ennek beállításairól bő- 
vebben a tech.net magazin III. évfolyam 8-9. összevont számá- 
ban a , Windows 2000 Active Directory telepítése" című cikk- 
ben olvashatunk. A lényeg, hogy a DNS zóná(kJnak tudni kell 
az összes olyan információról, ami - hagyományos körülmé- 
nyek között — automatikusan belekerül, ha a dynamic update 
engedélyezett. 

Mielőtt az ember belekezd egy ilyen feladat megoldásába, ér- 
demes olvasni a Knowledge Baset, hogy milyen friss informáci- 
ók jelentek meg a témával kapcsolatban. Arról már az elején 
tudtam, hogy ez megvalósítható, azaz van olyan lehetőség, 
hogy teljesen különböző névterű domain-fákat egy Active Di- 
rectory Erdőbe egyesítsünk, viszont a technikai részletekkel 
nem voltam tisztában. Ilyenkor szokott jönni a jól bevált ,pró- 
báljuk meg" módszer, hiszen mi bajunk lehet? Mentés van és 
amúgy is csak a direkt ezért telepített Windows 2000 szervere- 
ket szúrhatjuk el, mert ugye senki sem ugrik neki élesben egy 
domain-enként több száz usert tartalmazó SAM adatbázisokat 
ötvöző AD installnak?! Önmagában ez nem gond, hiszen egy- 
szer muszáj megtenni, amikor például a régi NT 4-es domaint 
az ember végre aláveti az upgrade-nek, de kísérletezni jobb 
nem élesben... Kiindulópont tehát egy már meglévő domain-fa 
ami elszenvedte az upgrade-et. Esetünkben ez egy .org névte- 
rű és New York-i székhelyű domain. Benne minden olyan szol- 
gáltatással, ami megmaradt a régi NT 4-es világból, mint pl. a 
WINS, illetve megmaradtak a régen kézzel beállított Domain 
Trust Relationship-ek is. Így még a telepítés megkezdése előtti 
tesztekben is remekül működött az egymás hálózatában lévő 
szerverek és erőforrások elérése. A másik (itteni) domain leen- 
dő Active Directory neve .hu névterű, igazodva a már meglévő 
beállításokhoz, helyi adottságokhoz illetve az e-mail címekhez. 
Elindult tehát az AD telepítő (/DCPROMO) és a kérdésekre meg- 
felelő válaszokat adva vártam, hogy a két domain házassága 
Active Directory szinten is bekövetkezzen. Sajnos ez nem volt 
ilyen egyszerű! Egy hibaüzenet kíséretében leállt, jelezve, hogy 
a kívánt szolgáltatások nem elérhetőek a becsatlakozásra kisze- 
melt cél-domainben (erdőben). Ekkora tudtam már, hogy ha a 
ping — gépnévre kiadva — válaszol ugyan, az ilyenkor nem jelent 
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sokat, hiszen a névfeloldás származhat a WINS-ből is, de nem 
tudtam behatárolni, hogy pontosan mit is kíván tőlem a decpro- 
mo. Ezután újbóli KB-olvasás (és google search) következett és 
sikerült felfedezni a probléma valódi okára mutató jeleket. 


A megoldás 


A két domainnek szükségszerűen tudnia kell egymásról DNS 
szinten. Ne elégedjünk meg tehát a service-ek illetve az elér- 
hetőségek tesztelésével, hiszen azok NetBIOS, WINS és még 
hasonló forrásokon is alapulhatnak, Itt most a DNS-ben be- 
jegyzett SRV rekordokon múlik minden! Egyszerűen fogadjuk 
el, hogy az Active Directory tökéletes működéséhez tökéletes 
DNS-re van szükség a háttérben. A közös erdő megvalósításá- 
hoz kérjük meg a cél-domain rendszergazdáját, hogy engedje 
meg az ő DNS szerverükön a Zone Transfert és ezután a mi sa- 
ját névszerverünkön hozzunk is létre az ő domainjüknek meg- 
felelő névterű Secondary zónát, amibe érkezik majd az adat. 
Ugyanígy kell eljárnia neki is, azaz a DNS ,replikációnak" 
mindkét fél részéről meg kell lennie mielőtt a már meglévő és 
a frissen installálódni készülő Active Directorykat összeereszt- 
jük, hogy közösen majd egy erdőt alkossanak. 


EZEKET MKKEZZE TSZ 
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d A zónán engedélyezni kell az átvitelt 


Miután létrejött a teljes névtér-ismeretanyag mindkét DNS 
szerveren, kérjünk egy olyan felhasználót, aki a megcélzott Ac- 
tive Directorys domainben Administrator, illetve rendelkezik 
Schema Admin és Enterprise Admin csoporttagsággal. Ezeknek 
ismeretében aztán újra nekifoghatunk a DCPROMO-nak és ha 
mindent jól csináltunk, domainjaink (Active Directoryjaink) 
boldogan összebarátkoznak és megbeszélik egymás között a 
konfigurációjukat, illetve schemajukat. Így egy új — valóban 
globális — katalógus jön létre amiben a teljes erdőre vonatkozó 
összes lényeges információ benne van. Ez aztán lehetővé teszi 
például az Exchange 2000 szerverek kommunikációját, közös 
public-folder struktúrát és még hasonló sok egyéb hasznos 
szolgáltatást, amivel könnyebbé tehetjük egy több domaint 
használó, nemzetközi cég életét. 
Füzesi Szabolcs 
fuzesiszOgosi.hu t MCSA 
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-77  RIVindows KP Professional 
2 megbízhatóságával 
kapcsolatos fejlesztések 


Hivatalos Microsoft-tanulmány 





Napjainkban a vállalkozások számára kritikus fontosságú a 
számítógépes rendszer megbízhatósága és rendelkezésre állá- 
sa. A Microsoft Windows 2000 Professional operációs rendsze- 
re új szintet jelent az asztali rendszerek megbízhatóságának te- 
kintetében. A Windows XP Professional a Windows 2000 kód- 
jára épül, amely biztosítja a 32 bites architektúrát, és a védett 
memória-modellt. A Windows XP új fejlesztéseinek köszönhe- 
tően a Windows eddigi legmegbízhatóbb verziója lett. 


Alkalmazások kompatibilitása 


Valahányszor az operációs rendszer új verzióját vesszük hasz- 
nálatba, előtérbe kerül az alkalmazások kompatibilitásával 
kapcsolatos aggodalom. A Windows XP, a Microsoft otthoni 
(Windows 95, Windows 98, és Windows Millennium) és üzle- 
ti felhasználásra szánt (Windows NT, Windows 2000) termék- 
vonalainak összeolvadását képviseli, és mint ilyen, kiterjedt 
kompatibilitást nyújt a külső gyártóktól származó alkalmazá- 
sok számára otthoni és üzleti környezetben is. 

A Windows XP kompatibilis a Windows 95, Windows 98, és 
Windows Me alatt futó ezer legfontosabb alkalmazás csaknem 
mindegyikével, és szinte az összes Windows 2000 alatt futó 
alkalmazással — kivéve a víruskereső programokat, a rendszer- 
karbantartó programokat, és a biztonsági mentéssel kapcsola- 
tos eszközöket (a legtöbb esetben azonban ezek gyártói már 
a Windows XP megjelenésére elkészítették a frissített verzi- 
ókab. 

A Windows korábbi verzióira tervezett, a Windows XP alatt 
nem működő alkalmazások esetében a felhasználók sikerrel al- 
kalmazhatják a Windows XP új szolgáltatását, a kompatibilitá- 
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si üzemmódokat. Ennek működési elve az, hogy emulálja a 
legtöbb korábbi Windows verzió által nyújtott környezetet. Ha 
egy régebbi alkalmazás nem fut Windows XP alatt, könnyen 
elindíthatjuk a kiválasztott kompatibilitási módban a Program 
Compatibility Wizard (Program kompatibilitása varázsló) segít- 
ségével, ahogy az előbbi ábrán látható. 


A Windows XP az alkalmazások környezetének olyan javítása- 
it tartalmazza, amelyek segítségével megoldhatók a kompatibi- 
litási problémák, például, ha az alkalmazás helytelenül hatá- 
rozza meg az operációs rendszer verzióját, vagy ha már felsza- 
badított memóriaterületre hivatkozik. A javításokat az operáci- 
ós rendszer automatikusan alkalmazza az egyébként inkompa- 
tibilis alkalmazás futása közben; felhasználói beavatkozásra 
nincs szükség. 

Ezen felül, ha új alkalmazások jelennek meg, illetve új javítá- 
sok válnak elérhetővé, a frissítések automatikusan letölthetők a 
Windows Update webhelyről az Automatic Update (Automati- 
kus frissítés) funkció használatával (a Windows Me-ben jelent 
meg először). 


MEGJEGYZÉS: A Windows XP, alkalmazások kompatibilitásával 
kapcsolatos technológiáiról a következő címen találhat infor- 
mációkat: [1] 


Eszköz- és hardvertámogatás 


Az eszköz- és hardvertámogatás számos fejlesztésen esett át, 
amelyek egyesítik a Windows 2000, és a Windows Me termék- 
vonal előnyös tulajdonságait, a rendszer nagyobb stabilitása, 
és az eszközök minél szélesebb körű kompatibilitása érdeké- 
ben. A Windows XP Plug and Play támogatást nyújt több száz, 
a Windows 2000 által még nem támogatott eszköz számára, 
továbbfejlesztett Universal Serial Bus (USB), IEEE 1394 és Pe- 
ripheral Component Interconnect (PCI) támogatással rendelke- 
zik. A Plug and Play technológia maga is számos fejlesztésen 
esett át, ezek egyszerűbb használatot és jobb teljesítményt biz- 
tosítanak, különösen a telepítési folyamatok során. Az eszköz- 
meghajtó-modellek nagyrészt nem változtak a Windows 2000- 
hez képest, így a legtöbb Windows 2000 alatt használt eszköz- 
meghajtó képes együttműködni a Windows XP-vel. 


MEGJEGYZÉS: A Windows XP hardver-kompatibilitással kapcsola- 
tos fejlesztéseiről a következő címen találhat információkat: [2] 


Megosztott DLL-ek támogatása 


Mivel számos Windows-alapú alkalmazás rendelkezik azonos 
funkciókkal, (például fájlok mentése) megosztottan használják 
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az operációs rendszer komponenseit (dinamic link libraries, 
DLL). A komponensek megosztása időnként problémákat 
okozhat, ha az alkalmazások a komponens különböző verzió- 
it használnák. A megosztott használat hátrányainak kiküszöbö- 
lése érdekében a Windows XP támogatja a komponensek biz- 
tonságos megosztását, amelyet side-by-side (,SxS") kompo- 
nens-megosztásnak nevezünk. 

A komponensek egy adott verziójának használata helyett — 
amely csak visszafelé biztosít kompatibilitást — a side by side 
megosztás lehetővé teszi Component Object Model (COM), és 
Win32 API-komponensek több verziójának párhuzamos futta- 
tását. A Windows XP kulcsfontosságú komponensei közül 
azok, amelyek leggyakrabban veszélyeztetik a rendszer stabili- 
tását, side-by-side komponensként használhatók. 

A Windows XP lehetővé teszi a Win32-komponensek és alkal- 
mazások számára a megfelelő, tesztelt Microsoft-komponen- 
sek használatát anélkül, hogy ezt a rendszer frissítése vagy más 
alkalmazások telepítése befolyásolhatná. A módszer XML-fáj- 
lok használatán alapul, amelyek az alkalmazásokra vonatkozó 
háttér-adatokat tartalmaznak (COM-osztályok, csatolófelüle- 
tek, típuskönyvtárak, stb.). 


A rendszerleállási események követése (Shutdown Event 
Tracker) szolgáltatás 


A Rendszerleállási események követése szolgáltatás egyszerű, 
és szabványos módot biztosít a számítógép leállítási vagy újra- 
indítási okainak dokumentálásához. Az információt elemezve 
megállapíthatjuk a leállítások kiinduló okát, és alaposabban 
megismerhetjük a rendszert. 

A leállítás vagy újraindítás okát a Windows leállítása párbe- 
szédpanelen lehet rögzíteni. A Windows leállítása párbeszéd- 
panel a leállítási folyamat részeként, vagy a rendszer hirtelen 
leállását követő újraindítás során jelenik meg. A Windows a le- 
állítás, vagy az újraindítás okaként előre megadott beállításo- 
kat biztosít. Megadhatunk azonban egyéni okokat is. Az itt 
megadott információt az Eseménynaplóban rögzíti a rendszer. 
A Rendszerleállási események követése szolgáltatás alapértel- 
mezéskérnt le van tiltva a Windows XP-ben. 

A leállások okainak követésén túl, a rendszerleállási esemé- 
nyek követése szolgáltatás a leállás előtt pillanatképet készít a 
rendszer állapotáról, meghatározza azokat a rendszererőforrá- 
sokat, amelyek határértékeit a rendszer megközelítette, vagy 
túllépte közvetlenül az újraindulás előtt. Rögzíti a rendszerben 
futó folyamatok, a lapozófájlok, a lemezegységek számos pa- 
raméterét, és a rendszer erőforrásainak kihasználtságát. A rend- 
szernaplóban feljegyzett adatok később elemezhetők, és segít- 
ségükkel megérthetjük a rendszer teljesítmény-csökkenésének 
kiinduló okait, és azokat a teljesítményproblémákat, amik az 
újraindítást szükségessé tették. Ez segíthet abban, hogy számí- 
tógépünket hatékonyabban használhassuk — például megért- 
hetjük a párhuzamosan futó alkalmazások számának korláto- 
zásából származó előnyöket - és ennek eredményeképpen nö- 
velhetjük a rendszer hasznos idejét. 


MEGJEGYZÉS: A Rendszerleállási események követése szolgálta- 
tás alapértelmezésként le van tiltva a Windows XP rendszer- 
ben. 


A nem válaszoló alkalmazások bezárása 


A Windows XP alkalmazás-ablaka lehetővé teszi a nem vála- 
szoló alkalmazások egyszerű bezárását. A Windows előző ver- 
zióiban nem volt egyszerű módszer a nem válaszoló alkalma- 
zások bezárására. EI kellett indítanunk a Feladatkezelőt (Task 
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Manager), kiválasztani az alkalmazást, és a megfele- 
lő gombra kattintva bezárni azt. A Windows XP-ben 
a nem válaszoló alkalmazás ablaka továbbra is reak- 
cióképes marad. Az alkalmazás-ablak címsora tájé- 
koztat arról, hogy az alkalmazás nem válaszol, de az 
alkalmazás leállítható a Bezárás gombra való kattintással. A 
gomb megnyomása egyenértékű a Feladatkezelő segítségével 
történő bezárással. 


hg, 


Az eszközmeghajtók hibatűrésével kapcsolatos fejlesztések 


Néha problémát okozhat az új eszközök telepítése. A Win- 
dows XP két olyan fejlesztést tartalmaz, amelyekkel jelentősen 
csökkenthetők a káros eszközillesztők okozta problémák: a 
Windows Driver Protection (eszközillesztők védelme) és az il- 
lesztőprogramok visszaállítása szolgáltatás. 


Windows Driver Protection (eszközillesztők védelme) 


A Windows Driver Protection új szolgáltatás, amely megaka- 
dályozza a káros eszközillesztők — amelyek a rendszerfunkci- 
ók működésképtelenségét (,lefa- 
gyás"), vagy váratlan rendszerleállást 
(,kék halál") eredményeznek -— tele- 


A Windows Driver pítését, illetve betöltését. Az ismert 
káros eszközillesztőket tartalmazó 

Protection meg adatbázis — melyet a Microsoft tart 
karban -— segítségével határozható 

akadályozza a káros meg, hogy mely eszközillesztő nem 
kerülhet telepítésre, illetve betöltésre. 

eszközillesztők — Az adatbázis legfrissebb verziója a 
Windows Update webhelyén érhető 

telepítését illetve el (lásd a Windows Update szakaszt 
később). 

betöltését Ha új eszközt telepítünk a Hardver 


hozzáadás varázsló (Add Hardware 

Wizard) segítségével, és az eszköz- 

höz tartozó illesztőprogram káros 
lehet, a megjelenő párbeszédablak tájékoztat arról, hogy az 
illesztőprogram telepítése nem történt meg, mivel az a rend- 
szer hibás működését okozhatja. A párbeszédablak tartalmaz- 
za tovább egy weboldal címét is, ahol további információkat, 
illetve ha hozzáférhető, frissített illesztőprogramot találha- 
tunk. 
Ha az illesztőprogramot más módon telepítjük — akár a Crea- 
teService API segítségével, vagy a megfelelő értékeket közvet- 
lenül a registrybe írva — és később az károsnak bizonyul, a ke- 
zelőprogram betöltési folyamata megszakad. A figyelmeztetési 
területen új ikon jelenik meg, jelezve, hogy bizonyos eszközök 
vagy alkalmazások a káros illesztőprogramok miatt nem fog- 
nak működni. Az ikonra kattintva a Súgó és támogatás ablak 
megjeleníti a letiltott eszközre, illesztőprogramra, illetve alkal- 
mazásra vonatkozó részleteket. A lapon megjelenik az utolsó 
rendszerindítás óta blokkolt eszközillesztők listája. Megjelen- 
nek az illesztőprogramok, és a hozzájuk kapcsolódó alkalma- 
zás vagy eszköz neve, és a megfelelő Súgóoldalra mutató link 
is, (helyi vagy távoli, a hálózati kapcsolatoktól függően) ahol 
megtudhatjuk, hogyan juthatunk hozzá az. eszközillesztő 
újabb, helyesen működő verziójához. 
Az automatikus, a távolról felügyelt, és a Telnet bejelentkezé- 
sek az eseménynapló bejegyzésen kívül nem kapnak más tájé- 
koztatást az eszköz, vagy alkalmazás letiltásáról. Minden nap- 
lóbejegyzés tartalmaz a Windows Update webhelyre mutató 
linket, ahol a további információkhoz és az esetleges frissíté- 
sekhez hozzájuthatunk. 
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Illesztőprogramok visszaállítása szolgáltatás 


Az Illesztőprogramok visszaállítása szolgáltatás segít 
fenntartani a rendszer stabilitását. Illesztőprogram 
frissítésekor az előző programcsomag automatikusan 
mentésre kerül egy speciális alkönyvtárba (minden 
elmentett illesztőprogramhoz kapcsolódóan a registry megfele- 
lő részébe új bejegyzés kerül). Ha az új illesztőprogram nem 
működik megfelelően, visszaállíthatjuk a régebbi eszközillesz- 
tőt, ha az Eszközkezelőben az eszközhöz tartozó Illesztőprog- 
ram (Driver) lapon a Visszaállítás (Roll Back Driver) gombra 
kattintunk, az alábbi ábrának megfelelően. A szolgáltatás csak 
egyszintű visszaállításra alkalmas (egyszerre csak egy elmen- 
tett, korábbi illesztőprogram verzió van); a nyomtatókon kívül 
minden eszköztípust támogat. 


hkureal Vortex 8820 Audio (WDM) Properties 


. General Properties . Driver 


0 Aureal Vortex 8820 Audio (WDM) 
Driver Provider: Microsoft 
6/6/2001 
5.1.2489.0 
NT Build Lab 


Driver Date: 


Driver Version 


Düver Details... To view details about the driver files. 


Jpdate Driver. To update the driver for this device. 


If the device fads after updating the diver, rol 


Roll Back Driver back to the previously installed driver. 


To uninstall the driver (Advanced), 








Id A tulajdonságok (Properties) párbeszédablak Illesztő- 
programok (Drivers) lapja számos lehetőséget biztosít 
az eszközök felügyeletéhez 


Telepítési, frissítési és helyreállítási fejlesztések 


Bizonyos esetekben szükség lehet az alkalmazások, vagy a 
rendszerfájlok helyreállítására, frissítések, illetve javítócsoma- 
gok telepítésére. 


Auto Update 


Az Auto Update segítségével frissíthetjük a számítógépet anél- 
kül, hogy a webböngészést félbe kellene szakítanunk. Nem 
kell felkeresnünk speciális weboldalakat, letöltenünk fájlokat, 
és nincs szükség az elérhető frissítések rendszeres ellenőrzésé- 
re sem. A letöltött fájlok kisméretűek, hogy minimalizálhassuk 
a hálózati válaszidőben jelentkező hatásokat; a letöltési folya- 
mat automatikusan újraindul, ha a kapcsolat a letöltés vége 
előtt megszakad. Ha a frissítés letöltődött, telepíthetjük azt. 


Dynamic Update 


A Dynamic Update megnöveli a rendszer megbízhatóságát, al- 
kalmazás- és eszközkompatibilitási frissítésekkel, illesztőprog- 
ramok fírissítéseivel, és biztonsági, vagy telepítési problémák 
javításaival látja el a felhasználót. Ez a lehetőség különösen ak- 


kor hasznos, ha a Windows XP megjelenése, és a telepítés kö- 
zött már hosszabb idő telt el. Ha a telepítés során kiválasztjuk 
a Dynamic Update lehetőséget, a Telepítő a Windows Update 
webhelyről letöltött, frissített eszközillesztőket és alkalmazáso- 
kat fogja használni, a telepítő CD-n lévő eredeti fájlok helyett. 
A rendszergazdák letölthetik a Dynamic Update csomagot, 
amely a hálózat számítógépeihez kompatibilitási és biztonsági 
javításokat tartalmazhat. A Dynamic Update csomag segítségé- 
vel biztosítható, hogy minden felhasználó, aki az operációs 
rendszert telepíti, hozzájuthasson ezekhez a javításokhoz. 


Windows Update 


A Windows Update a Windows XP online bővítése. A Win- 
dows Update webhely központi tárolóhelyet biztosít a termék- 
frissítések — például javítócsomagok, eszközillesztők, kompati- 
bilitási és biztonsági frissítések — számára. Az illesztőprogra- 
mok telepíthetők, illetve írissíthetők a Windows Update web- 
hely segítségével. Amikor csatlakozunk a Windows Update- 
hez, Microsoft ActiveX-vezérlők hasonlítják össze a rendszerre 
telepített eszközillesztőket a legújabb verziókkal. Ha létezik 
újabb verzió, a Windows Update választásunk szerint letölti, 
és automatikusan telepíti azt. Vállalati környezetben a funkció 
kikapcsolható, illetve használata korlátozható csak a rendszer- 
gazdák számára, akik a Windows Update webhely megfelelő 
szolgáltatásának segítségével megkereshetik, összegyűjthetik 
és letölthetik a szükséges frissítéseket. 

A Windows Update külön oldalakat kínál az otthoni és a vál- 
lalati felhasználók számára: 


A A Windows Update otthoni felhasználóknak szánt 
webhelye a [3] címen található. Tartalmazza az Acti- 
veX-vezérlőt, amely automatikusan detektálja a rend- 
szerhez csatlakoztatott eszközöket, és felkínálja azok 
frissített vezérlőit. A Windows Update érzékeli a meg- 
lévő illesztőprogramok verziószámait, és csak a megfe- 
lelő illesztőprogramokat ajánlja fel, ha azok újabbak a 
meglévőknél. 

A A Windows Update vállalati webhely a [4] címen ér- 
hető el. Lehetővé teszi a rendszergazdák számára, hogy 
megkeressék a vállaltnál szükséges illesztőprogramo- 
kat, és letöltsék az ezekből összeállított csomagot. A le- 
töltött csomagok terjesztése a vállalati hálózat segítsé- 
gével történhet. A vállalati webhely nem végez auto- 
matikus illesztőprogram-felismerést. 


Biztonsági mentéssel és helyreállítással kapcsolatos 
fejlesztések 


Az alkalmazások kompatibilitási problémái, a hardverkompa- 
tibilitási gondok, vagy a tápellátás zavarai a rendszer hibás mű- 
ködéséhez vezethetnek. Ha ez megtörténik, szükségünk lehet 
a rendszer helyreállítására. A Windows XP számos fejlesztése 
segíti a problémák gyors megoldását. 


A Shadow Copy és a biztonsági mentés integrációja 


A Windows XP-ben mutatkozott be a biztonsági mentés új 
technológiája, a Shadow Copy, amely a megnyitott fájlokról is 
pontos másolatot képes előállítani. A kötet-pillanatfelvételek le- 
hetővé teszik, hogy a felhasználók és az alkalmazások megsza- 
kítás nélkül folytassák a munkát, mialatt a biztonsági mentés 
zajlik. Az alkalmazások a biztonsági mentés ideje alatt is írhat- 
nak újabb adatokat a kötetre, és a megnyitott fájlok sem marad- 
nak ki a mentésből. Az alkalmazások számára új API-k teszik 
lehetővé a Shadow Copy-mentésekkel való együttműködést. 


EdTátz. ME: tecn 





Legutolsó helyes konfiguráció (Last Known 
Good Configuration) 


A Windows 2000-ben, a Legutolsó helyes konfiguráció opció 
lehetővé tette az operációs rendszer elindítását az utolsó hibát- 
lan leállításkor elmentett legfontosabb registryinformációk 
alapján. A Windows XP-ben az opció az eszközmeghajtók leg- 
válik az újonnan telepített eszközillesztők okozta problémák 
helyreállítása is, az eredeti, jól működő illesztőprogram újrate- 
lepítése nélkül. A Windows XP-t a legutolsó helyes konfigurá- 
ció használatával úgy indíthatjuk el, ha a rendszerindítás ele- 
jén megnyomott F8 billentyű hatására megjelenő Speciális 
rendszerindítási lehetőségek menüje képernyőn kiválasztjuk a 
Legutolsó helyes konfiguráció menüpontot. 


Automatikus rendszer-helyreállítás 


A Windows XP-ben jelent meg a biztonsági mentés 
(NTBackup.exe) speciális lehetősége, az automatikus rendszer- 
helyreállítás (ASR). Az ASR biztosítja az alkalmazások, a rend- 
szer és indítópartíció fontos fájljai, valamint a rendszerállapot 
mentésének és helyreállításának lehetőségét. Az ASR, a Win- 
dows 2000 és a Windows NT 4.0 által használt Helyreállítóle- 
mezt helyettesíti. Az ASR képes a registy Plug and Play-jel kap- 
csolatos információinak mentésére, és helyreállítására is. Hasz- 
nát vehetjük számos helyreállítási esetben — például ha a me- 
revlemez meghibásodik, és valamennyi beállítási paraméter és 
információ elvész, az ASR használatával helyreállíthatók a 
rendszeradatok. 


Rendszer-visszaállítási szolgáltatás 


A rendszer-visszaállítási szolgáltatás — amely először a Win- 
dows Me-ben jelent meg — automatikusan figyeli és rögzíti a 
rendszer legfontosabb elemeinek változásait. Ha olyan változ- 
tatás végzünk a rendszeren, amely problémát okozhat, lehető- 
ség van a változtatás visszavonására, sőt visszatérhetünk egy 
régebbi, helyesen működő állapotba is. A rendszer-visszaállítá- 
si szolgáltatás segít a rendszer helyes működésének fenntartá- 
sában, és csökkenti a különféle támogatási szolgáltatások 
igénybevételének gyakoriságát. 


To begin seket te trák that pon ment ta perterme 
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Id Rendszer-visszaállítási szolgáltatás. 


A rendszer-visszaállítási szolgáltatás nem változtatja meg a 
személyes adatfájlokat — dokumentumokat, rajzokat, elektroni- 
kus leveleket. A rendszer-visszaállítási szolgáltatás figyelemmel 
kíséri a rendszerben és bizonyos alkalmazások fájljaiban vég- 
rehajtott módosításokat, és automatikusan, könnyen azonosít- 
ható visszaállítási pontokat hoz létre. Létrehozásukra alapértel- 


achnet vajsrgi ág w 


mezés szerint naponta, illetve jelentős rendszerese- 
mények esetén (például alkalmazások vagy illesztő- 
programok telepítésekor) kerül sor. Emellett bármikor 
létrehozhatunk saját, névvel ellátott visszaállítási 
pontokat is. A korábbi állapot visszaállítása nincs ha- 
tással a személyes adatfájlokra és nem módosítja azokat. 

A Windows XP rendszer-visszaállítási szolgáltatása a követke- 
ző tulajdonságokkal rendelkezik: 


Megnövelt teljesítmény 

Lemezegységenkénti adattárolás 

Beállítható lemezegységenkénti méret 

Szelektív lemezegység megfigyelés 

Az adattár hozzáférhető a víruskeresők számára 

Jobb lemezterület kihasználás 

Smart mentés (egy másolat visszaállítási pontonként) 
Az NTEFS tömörítés támogatása 

A Csoportos házirend alkalmazható a rendszer-vissza- 
állítási szolgáltatás beállításához 

Jobb integráció a Lemezkarbantartó segédprogrammal 
Figyelmeztető üzenet, ha a lemezegység megtelt 

A rendszer-visszaállítási szolgáltatás által felhasznált le- 
mezterület visszanyerhető — az utolsót kivéve vala- 
mennyi visszaállítási pontot törölhetjük. 


BBB BEBEBBEBBBB 


További információkat találhat a rendszer-visszaállítási szolgál- 
tatásról a következő címen: [5] 


Online rendszerösszeomlás-analízis 


A Windows XP új szolgáltatása az online rendszerösszeomlás- 
analízis. Ennek segítségével rendszerösszeomlás (,kék halál"), 
vagy Stop hiba esetén, a Windows XP következő indításakor 
elküldhetjük a leállással kapcsolatos naplóbejegyzéseket a 
Microsoft terméktámogatási szolgáltatások webhelyre. A Mic- 
rosoft elemzi a jelentést, és ennek eredményét 24 órán belül e- 
mailben visszajuttatja. Ha a hiba megoldása ismert, meg fog- 
juk kapni az elhárításhoz szükséges tevékenységek és fájlok lis- 
táját. Ha a Microsoft nem tud megoldást nyújtani a Stop hibá- 
val kapcsolatban, az elküldött információkat a Microsoft ter- 
mékek minőségének és megbízhatóságának javításhoz fogja 
felhasználni. Bármikor ellenőrizheti az elküldött jelentés álla- 
potát, a Microsoft online rendszerösszeomlás analízis webhe- 
lyén: [6] 
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se megbízhatóság növelése a begdontosabb 
cél munkánk során. 
75i00 Gates, 2002. januát 15. 


A vállalkozások világszerte arra törekszenek, hogy biztosítsák 
az információk elérését, növeljék a termelékenységet, illetve a 
lehető leggyorsabban nyújtsanak szolgáltatásokat — mindezt a 
lehető legkedvezőbb áron. A partnerekkel, szállítókkal, ügyfe- 
lekkel és munkatársakkal való kapcsolattartás lehetősége idő- 
ponttól és helytől függetlenül alapkövetelmény. Elmúltak már 
azok az idők, amikor csak a kiválasztottak szűk csoportja fér- 
hetett hozzá az üzleti alkalmazásokhoz és adatokhoz. 

Az új számítástechnikai megoldások és az Internet megjelené- 
se és elfogadottá válása alapvetően változtatta meg az infor- 
mációk tárolásának, elérésének és megosztásának módját. 
Azok a vállalatok, amelyek magasabb fokon nyitott és elosz- 
tott információkezelési modellt valósítottak meg, az alábbi 
előnyöket élvezhetik: 


HA Az alkalmazottak termelékenységének növekedése: 
Az alkalmazottak bármikor, bárhonnan biztonságosan 
érhetik el a szükséges információkat, így rugalmasab- 
ban dolgozhatnak, jobb döntéseket hozhatnak, és 
gyorsabban válaszolhatnak a piac változó követelmé- 
nyeire. 

mA Alacsonyabb költségek: A hálózati kapcsolatoknak és 
az együttműködési lehetőségeknek köszönhetően 
csökkennek a költségek és javul a hatékonyság. 

A Integrált üzleti folyamatok: A biztonságos együttmű- 
ködési és kapcsolattartási lehetőségeknek köszönhető- 
en szorosabb kapcsolat építhető ki az ügyfelekkel és 
partnerekkel, így növelhetők az eladások. 

Ha élni szeretnének a fenti előnyökkel, a vállalatoknak biz- 
tonságos informatikai infrastruktúrát kell kiépíteniük, amely 
minimálisra csökkenti a biztonsági kockázatokat, és lehetővé 
teszi a biztonsági felügyelettel és működtetéssel kapcsolatos 
költségek csökkentését. 

A magánszemélyek, vállalkozások és állami szervezetek sike- 
re egyre nagyobb mértékben függ attól, hogy képesek-e világ- 
szerte biztonságosan, valós időben kommunikálni. Az Inter- 
netnek köszönhetően mindenhová elérő hálózati kapcsolatok, 
illetve az életünk minden percében jelen lévő, sokoldalú esz- 
közök teljesen átformálták kommunikációs szokásainkat. Saj- 
nos a hálózati kapcsolatok nemcsak számos előnyt kínálnak, 
hanem újfajta veszélyeket is hordoznak; olyan veszélyeket, 
amelyeket — a Microsoftot is ideértve — csak kevesen láttak 
előre. 

Egyre több kapcsolatot építő világunk biztonság iránti igényé- 
nek kielégítése érdekében a Microsoft fejlesztéseinek első szá- 
mú célkitűzésévé emelte a biztonság fokozását. Hasonlóan, 
ahogy a grafikus felhasználói felület, a skálázhatóság vagy az 
internetes integráció mellett is elkötelezte magát, a Microsoft 
mindent megtesz annak érdekében, hogy az igényelt bizton- 


A Microsoít és a biztonság 


ságos rendszereket a felhasználók rendelkezésére bocsássa. 
Ismertetőnk azokat a terveket tárgyalja, amelyek megvalósítá- 
sa már megkezdődött, és amelyek a számítástechnikai eszkö- 
zök megbízhatóságának növelését célozzák. Kitér a Microsoft 
által már elért eredményekre, valamint a jelenleg elérhető 
egyéb forrásokra is utalást tesz. 

Craig Mundie 

alelnök, technikai igazgató 

Microsoft Corporation 


Bevezetés: Biztonságos platform építése a megbízható szá- 
mítástechnika érdekében 


A számítástechnikai iparág vezető szereplőjeként a Microsoft- 
ra súlyos felelősség hárul. Ha szeretné elérni célját, amely sze- 
rint minden felhasználó munkájához, kapcsolattartásához és 
tranzakcióihoz biztonságos környezetet szeretne teremteni, a 
Microsoftnak biztonságosabb rendszerek és termékek fejleszté- 
sére kell összpontosítania. A magasabb biztonsági szint fontos 
előnyöket jelent a Microsoft Windows-alapú megoldásokat al- 
kalmazó felhasználók és a Windows platformra fejlesztő füg- 
getlen szoftvergyártók számára is. 

A Microsoft munkatársai keményen dolgoznak annak érdeké- 
ben, hogy az új rendszerek már felépítésüknél fogva, beveze- 
téskor, alapállapotban is biztonságosak legyenek, és ebben az 
iparág vezető biztonsági kommunikációs és képzési rendszere 
segíti őket. Tervének véghezviteléhez a Microsoft jelentős be- 
ruházásokat hajt végre — csak a biztonságos Windows kezde- 
ményezés keretében 100 millió dollárt költött el 2002 első fél- 
évében — a Windows biztonságának növelése, illetve a felhasz- 
nálókkal és az iparági partnerekkel folytatott kommunikáció ja- 
vítása érdekében. A beruházás eredményeként folyamatok mó- 
dosulnak, a biztonság iránti igények hatására például széles 
körben kezdődött meg a biztonsági hiányosságok módszeres 
felderítése, illetve a termékek biztonságára már a tervezéskor is 
egyre nagyobb hangsúly tevődik. 

Az 1990-es évek gazdasági növekedését megalapozó termelé- 
kenységjavulást a számítógépeknek köszönhetjük. Idézzük az 
amerikai jegybank elnöke, Alan Greenspan szavait: , Az infor- 
mációtechnológia területén elért fejlesztések és ezek beépülé- 
se a gazdaság alaptőkéjébe lehetővé tették a nemzeti összter- 
mék előállításához szükséges munkaórák számának csökken- 
tését, így lehetővé vált termelésünk növelése." Egyre több vál- 
lalat vezet be informatikai rendszereket, hogy növelje termelé- 
kenységét, automatizálja üzleti folyamatait, és szolgáltatásai 
magasabb minőség és kedvezőbb ár mellett több ügyfélhez 
jussanak el. Ezek az információs rendszerek egyre növekvő 
mértékben integrálják az Internetet és a magánhálózatokat, mi- 
közben összekötik a vállalkozásokat az alkalmazottakkal, a fo- 
gyasztókkal és az üzleti partnerekkel. 

Miközben az Internet — a partnerekkel, szállítókkal és ügyfelek- 
kel való, korábban elérhetetlenül magas szintű integrációs le- 
hetőségek által — elképesztően nagy értéket képvisel a vállalko- 





zásoknál, egyben újfajta támadások számára is elérhetővé teszi 
őket. A biztonság fontosságának hangsúlyozása ellenére a kö- 
zelmúlt eseményei rámutattak a Microsoft termékek bizonyos 
gyengeségeire, biztonságos bevezetésük nehézségeire, illetve a 
fenyegetések kifinomultabbá válását követő üzemeltetésük 
problémáira. A termékek sebezhető pontjait az elmúlt időszak- 
ban főleg az alábbi három ok miatt tudták támadni: 


FA A védelmi vonalak elmosódtak, képlékenyek lettek. 
Amikor értékes adatokat csak néhány nagygépen tárol- 
tak, és ezeket csak viszonylag kevés felhasználó tudta 
elérni, a helyi hálózatra támaszkodva gyakorlatilag 
megfelelő védelmet lehetett kiépíteni. Merőben más a 
helyzet napjainkban, hiszen a bizalmas és értékes ada- 
tokat széles körben terjesztjük, és a felhasználók a vál- 
lalati magánhálózaton belülről és kívülről egyaránt el- 
érhetik őket. 

A Újfajta fenyegetések jelentek meg. Azok a tervezők, 
akik lefektették a jelenlegi rendszerek és hálózatok 
alapjait, még csak nem is gondolhattak a biztonsági ku- 
tatók és betörők által kidolgozott újszerű támadási 
módszerekre. A Perl és a webalapú parancsnyelvek 
széles körű használata a webkiszolgálókon például le- 
hetővé tette a betörők számára az ezekben a nyelvek- 
ben rejtőző hibák kihasználását — olyasfajta veszély ez, 
ami néhány éve fel sem merülhetett. 

HA Több a potenciális támadó. Több számítógép, több In- 
ternetkapcsolat, kifinomultabb, automatikus betörő- 
programok - kevesebb erőfeszítéssel is egyre több lehe- 
tőség kínálkozik a betörők számára. A sikeres támadá- 
sokra irányuló figyelem újabb támadásokra késztet. 
Emellett egy adott célpont adatainak ellopása vagy mű- 
ködésének akadályozása kifizetődő tevékenység, a le- 
bukás veszélye pedig kicsi, a számítógépes támadások 
tehát vonzó tevékenységi területet jelentenek. A fel- 
használók természetesen biztonságosabb termékeket 
várnak, a Microsoft pedig két okból is meg akar felelni 
elvárásaiknak: 

A A betörések jelentős anyagi veszteséget okoznak. Rop- 
pant nehéz meghatározni a betörések által okozott kárt, 
mivel a legtöbb vállalat nem számol be a támadások- 
ról. A Computer Security Institute és a Federal Bureau 
of Investigation (FBI) azonban minden évben készít egy 
számítógépes bűnözéssel és biztonsággal kapcsolatos 
felmérést, amelynek eredménye szerint 2001-ben 377 
millió dollárt tett ki az így okozott anyagi kár. A válasz- 
adók 94 százaléka számolt be vírusfertőzésről, 40 szá- 
zalékuk pedig a rendszerbe vagy a hálózatba kívülről 
történő behatolást észlelt. 

HA A Microsoftnak helyzetéből fakadóan különleges köte- 
lezettségeket kell vállalnia. 


A Microsoft általános sebezhetősége a Security Focus Bugtrag 
adatai szerint versenytársaiéval összevethető szintű maradt 
(John McCormicknak a TechRepublic által 2001. szeptember 
24-én közölt összefoglalója szerint). Mivel termékeit széles 
körben használják, a Microsoftnak javítania kell teljesítmé- 
nyén. Bill Gates elnök szavaival élve: , Az iparág vezetőjeként 
jobbaknak kell lennünk, és képesek is vagyunk rá. Új tervezé- 
si szemléletünk által nagyságrendekkel csökkenni fog a Micro- 
soft, a partnerei és a felhasználók által fejlesztett programokkal 
kapcsolatos problémák száma. Fontos, hogy felhasználóink 
automatikusan hozzájussanak a javításokhoz. Szoftvereinknek 








már az alapoktól kezdve a biztonságot kell szolgálni- 
uk, hogy felhasználóinknak ne kelljen ezzel a kér- 
déssel foglalkozniuk." 


A megbízható számítástechnika biztonsági alapjai 


A rugalmas műszaki megoldások alapvető fontosságúak a biz- 
tonságos számítástechnikai környezet kiépítéséhez, de a tech- 
nológia önmagában nem képes elhárítani a folyamatosan fejlő- 
dő fenyegetéseket. A kiválóan tervezett termékek, a jól kidol- 
gozott és hatékony folyamatok, a naprakész és jól képzett üze- 
meltető személyzet mind-mind nélkülözhetetlenek, ha ma- 
gasszintű biztonságot és funkcionalitást nyújtó környezetet 
akarunk létrehozni és fenntartani. 
A Microsoft sokáig csak mérnöki 
szempontból közelített a biztonság 
2002. januárjában kérdésköréhez, illetve a biztonsági 
szolgáltatásokat igyekezett bővíteni, 
Bill Gates 50000 ám erőfeszítései nem érték el célju- 
kat. A felhasználóknak ugyanis azon- 
Microsoft munkatárs  nali segítséget kell nyújtani a folya- 
matosan fejlődő fenyegetések elleni 


együttműködését védekezésben. A Microsoft ezért je- 
lentős beruházásokat végez annak ér- 
kérte megbízhatóbb . dekében, hogy biztonságosabb ter- 
mékeket bocsáthasson ügyfelei ren- 
számítástechnikai delkezésére, illetve a meglévő tapasz- 
talatokra építve gyakorlati biztonsági 
környezet létreho- és bevezetési útmutatókat és képzése- 
ket állít össze. Egy új, biztonságos 
zásához platform létrehozása érdekében 


2002. januárjában Bill Gates 50000 

i Microsoft munkatárs együttműködé- 
sét kérte megbízhatóbb számítástechnikai környezet létreho- 
zásához, amelyre a felhasználók úgy bízhatják rá magukat, 
ahogy az elektromosság is mindennapjaik természetes részévé 
vált. A megbízható számítástechnikai környezet négy alappil- 
léren nyugszik: megbízhatóság, biztonság, adatvédelem és 
üzleti integritás. 


FH A megbízhatóság azt jelenti, hogy a számítógépes 
rendszerre támaszkodni lehet, szükség esetén elérhető, 
és az elvárt és megfelelő szintű teljesítményt nyújtja. 

A A biztonság azt jelenti, hogy a rendszer ellenálló a tá- 
madásokkal szemben, illetve a rendszer és az adatok 
bizalmassága, integritása és rendelkezésre állása meg- 
felelő védelmet élvez. 

A Az adatvédelem elve szerint az egyének fenntarthatják 
ellenőrzésüket a személyükkel kapcsolatos adatok fe- 
lett, és ezeknek az adatoknak a felhasználása teljes 
mértékben megfelel a tisztességes adatkezelés szabá- 
lyainak. 

A Az üzleti integritás arra utal, hogy az iparág vállalatai 
felelősséggel tartoznak saját felhasználóikért, és kötele- 
sek folyamatosan kapcsolatban maradni velük, segíteni 
őket abban, hogy megfelelő megoldást találjanak üzle- 
ti problémáikra, illetve a termékekkel és szolgáltatások- 
kal kapcsolatos kérdéseikre. Előrehaladásának követé- 
sére és mérésére a Microsoft létrehozta a megbízható 
számítástechnika célkitűzéseit felölelő keretrendszert: 
A termékeknek tervezésüknél fogva, alapállapotukban 
is, és bevezetéskor azonnal biztonságosnak kell lenni- 
ük, valamint támogatniuk kell a biztonságos kommuni- 
kációt is. 
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Tervezésénél fogva biztonságos 


A tervezésénél fogva biztonságos" megközelítés cél- 
ja az, hogy még a termék szállítása előtt kiküszöböl- 
je a biztonsági hiányosságokat, és a termék biztonsá- 
gát növelő funkciókkal bővítse azt. Előfeltételek: 


TA Biztonságos architektúrát kell létrehozni. A banképüle- 
teket is a biztonsági alapelvek figyelembevételével ter- 
vezik, szerkezetük kezdettől fogva tükrözi azt, hogy he- 
lyet kell adniuk a széfnek és az egyéb biztonsági beren- 
dezéseknek. A szoftvereket is hasonló módon kell ter- 
vezni. A Microsoft a kezdetektől fogva elkötelezte ma- 
gát a termékek biztonsági szempontok szerinti tervezé- 
se mellett. 

A Biztonsági funkciók hozzáadása. A Microsoft újabb 
szolgáltatásokkal bővíti termékeit, így azok újabb és 
újabb védelmi képességekkel gazdagodnak. 

HA A sebezhető pontok számának csökkentése az új és a 
meglévő programkódokban. A Microsoft javítja belső 
fejlesztési folyamatait, hogy a szoftverek tervezésekor 
és készítésekor munkatársai tisztában legyenek a biz- 
tonsági kérdésekkel. 


Alapállapotban is biztonságos 


Az ,alapállapotban is biztonságos" elképzelés alapötlete az, 
hogy az általános felhasználói környezetben szükségtelen 
szolgáltatásokat le kell tiltani. Ezzel csökken a rendszer támad- 
ható , felülete", A szolgáltatások elindítását ezután tudatosan 
kell kezdeményezni, így felügyeletük és megfigyelésük is na- 
gyobb valószínűséggel kap megfelelő figyelmet. 


Bevezetéskor biztonságos 


A tervezésénél fogva" és ,alapállapotban is biztonságos" 
szemlélet roppant fontos, ám csak a termékek tervezésekor jut 
szerephez. A ,bevezetéskor biztonságos" követelmény ugyan- 
ilyen fontos, ha nem fontosabb, mivel a számítógépek üzemel- 
tetése folyamatos tevékenység. A Microsoft lényeges előrelé- 
pést könyvelhet el a felhasználók e területen történő támogatá- 
sában. A ,bevezetéskor biztonságos" felfogás öt, egymással is 
összefüggő követelményre épül: 


A A rendszerek védelme szavatolja, hogy a megfelelő 
emberek, folyamatok és technológiák rendelkezésre 
állnak, és garantálják, hogy az adatok csak a felhatal- 
mazott személyek számára érhetők el, illetve a rend- 
szerek megfelelő konfigurációja és frissítése biztosítja a 
felhatalmazással nem rendelkező személyek folyama- 
tos távoltartását. A hálózat védelme hasonló ahhoz, 
mint amikor a betörőket távoltartandó bezárjuk ottho- 
nunk ajtaját. 

A A behatolási kísérletek felfedezése a biztonsági előírá- 
sok megszegésének, a működési problémáknak, a 
rendellenes viselkedésnek és a közeli meghibásodásra 
utaló jeleknek a felismerése. A felismerés olyan, mint- 
ha bekapcsolnánk otthonunk riasztóját, amely így fi- 
gyelmeztetni tud bennünket az esetleges veszélyekre. 

A Védekezés a rendszerben automatikus javító intézke- 
désekkel a biztonsági előírások megszegésekor vagy 
gyanús cselekmények felismerésekor. A védekezés 
olyan, mintha támadás közben segítségül hívnánk a 
rendőrséget. 

TA A sérült számítógépek, illetve a gyanús vagy meghibá- 
sodott gépek helyreállítása attól függ, hogy a szükséges 


rendszerek és folyamatok rendelkezésre állnak-e ah- 
hoz, hogy a gépet és adatait minimális leállás mellett 
vissza lehessen állítani az utolsó helyes állapotba. A 
visszaállítás hasonló ahhoz, mint amikor kihívjuk a biz- 
tosítótársaságot, hogy a betörés után térítse meg a kárt. 
Az információtechnológia birodalmában ez bármikor 
rendelkezésre álló biztonsági mentések készítését je- 
lenti, amelyek lehetővé teszik a fertőzött rendszerek 
gyors helyreállítását az utolsó helyes állapotba. 

FA Felügyelni és irányítani kell a védekezést, a felismerést, 
az ellenlépéseket és a létfontosságú rendszerek helyre- 
állítását, azaz rendelkezni kell a megfelelő házirendek- 
kel és eljárásokkal, amelyek egységes egészbe fogják 
össze a különböző intézkedéseket. A felügyelet emlé- 
keztet arra, mint amikor bizonyos szabályokat hozunk 
otthonunk védelme érdekében, biztosítást kötünk, 
majd újraértékeljük ezeket a szabályokat, ahogy tulaj- 
donunk és vagyonunk változik. Az informatikai bizton- 
sági felügyeletnek is hasonló módon, a fenyegetések és 
az óvni kívánt értékek változását követve kell napraké- 
szen tartania a biztonsági házirendeket. Számos biz- 
tonsági felügyeleti feladat automatizálható, a rendsze- 
rek pedig beállíthatók a rendszergazda értesítésére arra 
az esetre, ha valaki megsérti a házirendet, vagy túllépi 
a megadott teljesítménybeli vagy viselkedési határérté- 
keket. A biztonsági felügyelet a rendszergazdákra tá- 
maszkodik, akik megfelelő gyakorlati képzettséggel 
rendelkeznek, és akik következetesen gondoskodnak a 
biztonsági házirendek és eljárások betartásáról. 


Kommunikáció 


A biztonsággal kapcsolatos tudásanyag, a fejlesztések és javítá- 
sok hasztalanok maradnak, ha nem gondoskodunk széles körű 
terjesztésükről és a felhasználókkal való megismertetésükről. A 
Microsoft mindent megtesz annak érdekében, hogy párbeszé- 
den alapuló kapcsolatot alakítson ki ügyfeleivel, és a biztonsá- 
gi kockázatot minimálisra csökkentő eszközöket és útmutató- 


elemei: 


A A megfelelő információk és javítások gyors kiadása se- 
bezhető pontok felfedezésekor. 

A A felhasználók útmutatókkal és segédeszközökkel való 
segítése operációs rendszerük biztonságos működteté- 
sében. 

A Figyelmeztetés az újfajta támadásokra, illetve a fenye- 
getésekre adható gyakorlati lépések ismertetése, követ- 
ve a támadások és a technológia fejlődését. 


A Microsoft eddigi eredményei 


A megbízható számítástechnika nem úticél, sokkal inkább egy 
hosszú utazás, hiszen a számítástechnikai környezet összetett, 
a technológia pedig folyamatosan változik. A Microsoft már 
megtette az első lépéseket saját termékeinek biztonságossá, 
biztonsággal kapcsolatos kommunikációjának pedig pontosab- 
bá, gyorsabbá és mélyrehatóbbá tétele felé. 

Több ezer fejlesztő szakította meg mindennapi munkáját, és 
vett részt továbbképzésen. Számos új tervezési, kódolási és 
tesztelési módszert vettek át, így gyökeresen mozdult el a tel- 
jes vállalati kultúra. Ugyan a Microsoft még messze nem érte 
el célját, de rálépett arra az útra, amely a megbízható számí- 
tástechnikai környezet követelményeinek eléréséhez vezet 
(SD3-C). 





Tervezésénél fogva biztonságos 


A Microsoft korábban is gondoskodott a termékeiben található 
biztonsági hiányosságok felkutatásáról és javításáról, ám a kö- 
zelmúlt fenyegetéseinek és a felismert támadható pontok isme- 
retében most jelentősen növelte erőfeszítéseit. A megbízható 
számítástechnika megteremtését célzó kezdeményezés kereté- 
ben a Microsoft eddig példa nélküli lépésre szánta el magát: 
ideiglenesen leállította az új szolgáltatások fejlesztését, és a 
biztonsági kérdésekre összpontosítva tervezési és fejlesztési fo- 
lyamatainak integráns részévé tette a tervezésénél fogva biz- 
tonságos felfogást. A lépés tükrözi a Microsofton belül tapasz- 
talható megközelítésbeli eltolódást, amely hasonlóan történel- 
mi lépés, mint a grafikus felhasználói felület kiterjesztése az 
összes alkalmazásra, vagy az internetes szabványok átvétele a 
cég teljes termékvonalában. 

A Microsoft határozottan elkötelezte magát a szoftverek tüze- 
tes átvizsgálása és tesztelése mellett, mivel csak így biztosítha- 
tó a tervezési és megvalósítási hibák, illetve az előre nem lát- 
ható, összetevők közötti párbeszédek felismerése, azonosítása 
és javítása. A már megjelent termékekben megbúvó biztonsági 
hiányosságok felismerésével párhuzamosan a Microsoft biz- 
tonsági javításokat ad ki, és ezek a javítások, illetve a velük 
kapcsolatos tapasztalatok az újabb kiadások részévé válnak. 
2002. elején az összes Windows. fejlesztőmérnök — több mint 
8500 ember - szüneteltette munkáját, a cég ekkor magas szin- 
tű biztonsági képzéseket tartott. A továbbképzések után a fej- 
lesztői csapatok elemezték a Windows kódját, és alkalmazták 
a tanultakat. A Windows biztonsági javítását eredetileg 30 nap- 
ra tervezték. Végül a program közel kétszer ilyen hosszúra 
nyúlt, ám eredményeként jelentősen javult a Windows operá- 
ciós rendszerek biztonsága. 2001 novembere és 2002 júliusa 
között a Microsoft hasonló kezdeményezés keretében vizsgál- 
ta felül a .NET nyelvíüggetlen futásidejű rutinjait, valamint a 
Microsoft Visual Studio .NET, a Microsoft Office, a Microsoft 
SOL Server, a Microsoft Exchange Server és az eBusiness Ser- 
ver termékcsaládot. Az új biztonsági program végrehajtására a 
biztonságos Windows kezdeményezés (Secure Windows Initi- 
ative, SWI) indítötta a Microsoftot, amely 2000 januárjában, a 
Windows XP fejlesztésének kapcsán indult. Az SWI minden 
részletre kiterjedő, a tervezési és megvalósítási hibák kijavítá- 
sát célzó vizsgálatokat is magába foglalt, amelyek jelentős 
részben hozzájárultak ahhoz, hogy a Windows XP és a Win- 
dows .NET Server család tagjai tervezésüknél fogva és alapál- 
lapotukban is biztonságosak legyenek. Ilyen és hasonló, terve- 
zési és tesztelési vizsgálatokkal kísért kezdeményezések a fon- 
tosabb Microsoft termékekkel kapcsolatban a későbbiekben is 
várhatók. 


A Windows fejlesztői csapatot három módon érintette a biz- 
tonság javítását célzó kezdeményezés: 


A Biztonsági képzés. Minden Windows mérnök, illetve 
több ezer egyéb területen tevékenykedő szakember 
speciális képzésen vett részt, amelyen megismerkedtek 
a fenyegetések modellezésével, illetve a biztonságos 
programozási és tesztelési módszerekkel. A tapasztala- 
tok szerint a mérnökök az egyetemen megszerzik 
ugyan a biztonsági funkciók kifejlesztéséhez szükséges 
tudást, de rendkívül keveset tanulnak a biztonságos 
programkód készítéséről. Saját mérnökeinek képzése 
mellett a Microsoft dokumentációkba foglalta a gyakor- 
lati tapasztalatokat, és ezeket a Microsoft Press. Writing 
Secure Code (Biztonságos kód írása) című könyvében 





gyűjtötte össze [14]. Így más fejlesztők is át- 
vehetik azokat a gyakorlati tapasztalatokat, 
amelyeket a Microsoft munkatársai hosszú 
évek alatt gyűjtöttek össze. 

AA A fenyegetések modellezése. A programme- 
nedzserek, tervezők és tesztelők a biztonsági kezdemé- 
nyezésre szánt időszakot a Windows összetevőket fe- 
nyegető támadások modellezésével töltötték. A folya- 
mat fontos segítséget jelent a fejlesztőknek és a prog- 
rammenedzsereknek az egyes összetevőket érő leggya- 
koribb fenyegetések azonosításában, annak meghatá- 
rozásában, hogy az összetevők ellenállnak-e ezeknek a 
fenyegetéseknek, illetve azoknak a módszereknek a ki- 
dolgozásában, amelyek ellenállóbbakká teszik az 
összetevőket a támadásokkal szemben, majd lehetővé 
teszik a védelem elégséges voltának igazolását. A fe- 
nyegetések modellezése megszokott módszer a fegyve- 
rek tervezésénél, de ritkán alkalmazzák a szoftverek vi- 
lágában. 

A A forráskód ellenőrzése. A fejlesztők több millió sornyi 
Windows-forráskódot ellenőriztek, miközben már al- 
kalmazták a továbbképzésen megszerzett ismereteiket. 

Az ellenőrzést már a fenyegetések 

modellezése alapján végezték — a 

modellek segítségével határozták 

meg azokat az összetevőket, amelyek 
ellenőrzése a legfontosabb volt. Az 
ellenőrzés átfogó volt, a korábbi ter- 

Windows-forráskádot . mékváltozatokból átvett kódrészlete- 

ket is érintette, nemcsak az újabb 

verziókhoz írtakat. Szoftvergyártó ré- 


A fejlesztők több 


millió sornyi 


ellenőriztek 


ág széről hasonló mértékű erőfeszítést 


még soha nem láthattunk, de ered- 
ményei hamarosan mutatkoztak, hiszen egyes sebez- 
hető pontokat még az előtt sikerült eltüntetni, hogy kül- 
ső kutatók felfedezhették volna őket. A biztonsági kez- 
deményezés eredményeként a Microsoft termékfejlesz- 
tési kultúrája is változni kezdett. Immár minden össze- 
tevőhöz és szolgáltatáshoz tartozik egy biztonsági tu- 
lajdonos, akinek aláírásával kell igazolni az összetevő 
vagy szolgáltatás biztonságát. Minden fejlesztő és tesz- 
telő felelős az általa kezelt kódrészletekért, és a szemé- 
lyi felelősség a munkatársak egyéni teljesítményének 
értékelésekor is szerephez jut majd. Egyetlen fejlesztő 
sem szeretné saját nevét olyan összetevő vagy szolgál- 
tatás neve mellett látni, amelyet feltörtek, így a tulajdo- 
nosi körök kijelölése messzemenő eredményekkel jár- 
hat. 


Alapállapotban is biztonságos 


A Microsoft alapállapotban lévő termékeit is még biztonságo- 
sabbá teszi, az összetevők tehát telepítéskor is biztonságos ál- 
lapotban kezdik meg pályafutásukat — kikapcsolva, ha lehetsé- 
ges, és zárolva, ha mód van rá. 

A Windows biztonságosabbá tételét célzó kezdeményezés ke- 
retében az alapértelmezett beállítások úgy módosulnak, hogy 
az általánosan nem használt összetevők és szolgáltatások nem 
lesznek engedélyezve. Például: 


FA Windows .NET Server. Alapállapotban legalább 20 
szolgáltatás van kikapcsolva, a Telnet és egyéb szolgál- 
tatások pedig normál felhasználói jogosultsággal fut- 
nak, így még ha találna is valaki biztonsági hiányossá- 
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got ezen szolgáltatások valamelyikében, a teljes gép 
felett nem veheti át az uralmat. 

A Windows XP. Az Internet Information Services (/IS) 
alapállapotban ki van kapcsolva. 

A Office XP SP. A VBScript az alapértelmezett beállítá- 
sok szerint ki van kapcsolva. A lehető legtöbb szolgál- 
tatás letiltásával egy Windows .NET Server operációs 
rendszert futtató számítógép sokkal kisebb támadható 
felületet nyújt, mint a Windows 2000 Server operációs 
rendszert futtatók. Fontos megjegyezni, hogy a felhasz- 
nálók továbbra is bármikor elindíthatják ezeket a szol- 
gáltatásokat, ám alapértelmezés szerinti kikapcsolásuk 
a támadható felület csökkentése által jelentősen növeli 
a Windows biztonságát. Emellett az a tény, hogy a 
rendszergazdáknak tudatos lépéseket kell tenniük a 
kérdéses szolgáltatások elindításához, növeli annak va- 
lószínűségét, hogy a szolgáltatások felügyelete megfe- 
lelő figyelmet kap. 


Bevezetéskor biztonságos 


A biztonság előtérbe helyezése a tervezés időszakában, és csak 
a legáltalánosabban használt szolgáltatások alapértelmezett 
engedélyezése sokat segít a számítógépek támadások elleni vé- 
delmében. Az igazi hasznot azonban az aktív termelésben, fej- 
lesztésekben vagy tesztelésekben részt vevő számítógépek va- 
lós fenyegetésekkel szembeni védelmével lehet elérni. Ennek a 
kérdésnek a megoldására a Microsoft a Strategic Technology 
Protection Program (Stratégiai Technológiai Védelmi Program, 
STPP) kezdeményezést indította el 2001 októberében. Az STPP 
két egyszerű célt tűz ki: a felhasználók segítését a biztonság el- 
érésében, illetve a biztonság fenntartásában. Az STPP és más 
kezdeményezések keretein belül a Microsoft eszközöket, szol- 
gáltatásokat és oktatási anyagokat bocsát a felhasználók ren- 
delkezésére, akik így azonnal megkezdhetik már telepített 
rendszereik védelmének javítását, illetve az új javítások, esz- 

közök és útmutatók megjelenésével 

fenn is tarthatják a szükséges védelmi 

szintet. A biztonsági kérdésekkel kap- 


Kritikus fontosságú csolatban a Microsoft három kulcs- 
elemre összepontosít. 
a rendszergazdák 
EMBEREK. Kritikus fontosságú a rend- 
oktatása a megfelelő . szergazdák oktatása a megfelelő gya- 
korlati biztonsági témákról és a biz- 
gyakorlati bizton tonsági házirendek következetes be- 
tartatásáról; jelenleg számos szerve- 
sági témákról és a zet idő és tapasztalat hiányában nem 
tudja megoldani a képzést. Ennek 
biztonsági házi- megfelelően a Microsoft új biztonsági 
témájú képzéseket indított [13], ame- 
rendek következetes lyeken a Hivatalos Microsoft Techni- 
kai Oktatóközpontokban és a Hivata- 
betartatásáról los Akadémiai Oktatópartnereknél le- 


het részt venni. A képzések során a 

rendszergazdák elsajátíthatják rend- 
szereik biztonsági szolgáltatásainak konfigurálását és felügye- 
letét, és többek közt megismerkedhetnek azzal, hogyan védhe- 
tik meg a kiszolgálókat a beépített biztonsági funkciók segítsé- 
gével, vírusvédelemmel vagy biztonságos webes alkalmazások 
fejlesztésével. 


FOLYAMATOK. Ha az üzleti folyamatok fejlesztésekor kezdettől 
fogva figyelembe veszik a biztonságot, illetve ellenőrzik a biz- 
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tonsági összetevőket, jelentős lépést lehet tenni a támadások 
elhárítása felé. Az STPP részeként igénybe vehető az ingyenes 
Microsoft Security Toolkit, amely tartalmaz gyakorlati útmuta- 
tókat, információkat a Windows NT 4.0 és a Windows 2000 
rendszerek biztonságossá tételével kapcsolatban, valamint 
olyan szervizcsomagokat és javításokat, amelyek megszüntetik 
a kiemelten veszélyes sebezhető pontokat, és segítenek az 
újonnan telepített kiszolgálók biztonságos Internet kapcsolatá- 
nak létrehozásában. Ha vírustámadás ér valamilyen Microsoft 
terméket, az STPP keretében ingyenes telefonos támogatás ér- 
hető el a 866-PC SAFETY (727-2338) telefonszámon az Ame- 
rikai Egyesült Államokból és Kanadából, illetve világszerte a 
helyi Microsoft irodákon keresztül. A támogatási rendszer segí- 
ti a felhasználókat a vírus- vagy féregtámadás gyors azonosítá- 
sában és elhárításában, a helyreállításban, illetve a megfelelő 
frissítések telepítésében, megelőzendő a probléma újbóli elő- 
fordulását. 


TECHNOLÓGIA. A biztonsági eszközök és termékírissítések a 
Microsoft törekvéseinek alappillérei. Ezek a következők: 


A Szoftverfrissítő szolgáltatás (Software Update Service, 
SUS) 112], amely nagyobb rugalmasságot és rálátást 
biztosít a rendszergazdáknak a tekintetben, hogy az ál- 
taluk felügyelt számítógépekre milyen gyakran és ho- 
gyan történik meg a biztonsági frissítések telepítése. A 
jobb felügyelet érdekében a rendszergazdák kiválaszt- 
hatják, hogy mely frissítéseket kívánják telepíteni, majd 
beállíthatják az ügyfélszámítógépeket úgy, hogy csak 
ezeket a frissítéseket töltsék le — a vállalati tűzfalon be- 
lülről. A SUS magasabb fokú biztonságot és gyorsabb 
bevezetést tesz lehetővé, mint a gyorsjavítások és a ja- 
vítások kézi telepítésének egyébként elterjedt gyakorla- 
ta. 

A Eszközök, amelyek segítik a felhasználókat a Microsoft 
termékek biztonságos telepítésében — ilyen például a 
Microsoft Baseline Security Analyzer [11], amelynek 
segítségével a rendszergazdák automatikusan ellen- 
őrizhetik a rendszert, és észrevehetik az esetleges hibá- 
kat, például a hiányzó vagy gyenge jelszavakat, ellen- 
őrizhetik a javítások telepítését, illetve általános konfi- 
gurációs hibákat deríthetnek fel. Jelentéskészítő eszkö- 
Zei tiszta és érthető formátumban emelik ki, hogy mely 
számítógépeken milyen hibákat kell javítani, így jelen- 
tősen egyszerűsödik az összes számítógép egységes 
biztonsági szintre hozatala. További hasznos IIS-kiegé- 
szítők az IIS Lockdown [1] és az URLScan [2] biztonsá- 
gi eszközök. 

I A Microsoft termékkínálat bizonyos tagjaival tovább fo- 
kozható a biztonság, az Internet Security and Accelera- 
tion (ISA) Server 2000 [3] például tűzfalként szolgál, a 
Systems Management Server (SMS) [4], kiegészítve az 
SMS Value Pack csomaggal pedig kiterjedt javításkeze- 
lést tesz lehetővé. Az ISA Server erőteljes alkalma- 
zásszintű szűrési képessége lehetővé teszi a kimenő és 
bejövő forgalom tartalmának tüzetes elemzését. Ez a 
technológia segít az egyszerű vagy állapotalapú cso- 
magszűrést végző tűzfalakat könnyedén megkerülő tá- 
madások kivédésében is, így megfelelően védhetők a 
hálózat internetes végpontjai. Az SMS Value Pack egy- 
beépül az SMS szoftverterjesztési képességeivel, így 
egyszerűsített, jelentős mértékben automatizált megol- 
dást kínál a biztonsági és Office frissítések telepítésére. 
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Kommunikáció 


A Microsoft úgy fejleszti támogatási infrastruktúráját, hogy ügy- 
felei gyorsan hozzájuthassanak a biztonsági javításokhoz, és 
naprakészen követni tudják a változásokat. Számos nagyobb 
ügyfél, illetve szolgáltatási és támogatási partnereink további 
követelményeket támasztanak, többek közt képzést és egyéb 
szolgáltatásokat igényelnek, amelyek révén kifejleszthetik és fi- 
nomíthatják biztonsági házirendjeiket, illetve biztonsági téren 
képezhetik rendszergazdáikat és fejlesztőiket. A Microsoft új 
képzési anyagokat, útmutatókat, illetve a meglévő és tervezett 
rendszerek biztonságossá tételét segítő biztonsági értékeléseket 
nyújt, így járul hozzá a felhasználói által végrehajtott informa- 
tikai beruházások értékének megőrzéséhez. Mindemellett a 
Microsoft törekszik arra, hogy jobban megértse a felhasználók 
szempontjait és kiemelt céljait, és termékeit, szolgáltatásait 
ezeknek az igényeknek megfelelően fejleszti. A felhasználók 
igényelték például, hogy a Microsoft előre hozza nyilvánosság- 
ra a javítások kiadásának menetrendjét. Ezért a javítások már 
nem rendszertelenül, hanem ütemezetten, mindig hét közepén 
jelennek meg. Ez alól csak akkor lehet kivétel, ha a támadási 
lehetőséget aktívan ki is használják, vagy túlságosan nagy koc- 
kázatot jelent a felhasználók számára. A Microsoft Security 
Response Center (MSRC) [5] a Microsoftnál dolgozó több száz 
biztonsági szakember tudására épít, akik virtuális csapatokat 
létrehozva adnak választ a Microsoft termékekkel és technoló- 
giákkal kapcsolatos biztonsági kérdésekre. Az MSRC munka- 
csoportjai integráns részét képezik az iparág legjobb biztonsá- 
gi válaszadó folyamatának, amely kivizsgálja a sebezhető pon- 
tokról szóló jelentéseket, és a megfelelő javításokat elkészítve 
segíti a felhasználói rendszerek biztonságának fenntartását. A 
Microsoft ingyenes biztonsági értesítő szolgáltatást is fenntart, 
amely megjelenésük pillanatában továbbítja a biztonsági té- 
májú közleményeket a felhasználóknak. A szolgáltatásra a kö- 
vetkező címen iratkozhat fel: [6]. 


Összegzés 


A mindenhová elérő internetes kapcsolatok és a sokoldalú esz- 
közök átformálták a számítástechnikát és a kommunikációt — 
miközben jelentős előnyökkel kecsegtetnek, egyben új és fo- 
lyamatosan megújuló biztonsági kihívások elé állítanak. A ter- 
mékeiben lévő sebezhető pontokat ért támadásokra, illetve a 
felhasználók folyamatos támogatás és szolgáltatások iránti igé- 
nyére válaszul a Microsoft első számú céljává emelte a bizton- 
ság növelését. Ezen törekvése keretében a Microsoft felismerte, 
hogy túl kell lépnie a kezdeti kétkedő állásponton, ahogy azt 
korábbi stratégiai kezdeményezései — grafikus felhasználói fe- 
lület, internetes integráció, skálázhatóság — esetében is tette. 
A Microsoft lényeges lépéseket tett annak érdekében, hogy 
megfeleljen a kihívásoknak, így a termékek tervezésének első 
pillanatától központi kérdéssé emelte a biztonság témakörét, a 
biztonsági beállításokat alapállapot szerint is a lehető legjobb 
értékekre hangolta, illetve rendelkezésre bocsátja mindazokat 
az eszközöket, útmutatókat és képzéseket, amelyekre a fel- 
használóknak szükségük lehet környezetük biztonságának 
fenntartásához. Erőfeszítéseinek keretében a Microsoft tovább- 
ra is minden igényt megpróbál összegyűjteni felhasználóitól és 
partnereitől — a közös munka eredményeként megvalósítható a 
megbízható számítástechnika jövőképe. 
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További információk és forrásanyagok 


A jelenlegi munkák a megbízható számítástechnika 
biztonsági alapjainak lefektetését szolgálják; a termé- 
kek tervezésüknél fogva, alapállapotban is, és beve- 
zetéskor is biztonságosak lesznek, illetve fejlődik a 
kapcsolattartás — ezek az eredmények a Microsoft biztonsági 
téren tett széles körű fejlesztéseinek gyümölcsei. Az informati- 
kai szakemberek immár új eszközöket, szolgáltatásokat, ter- 
mékírissítéseket és oktatási anyagokat vehetnek kézhez, ame- 
lyek a Microsoft megbízható számítástechnikai jövőképének és 
új célkitűzéseinek közvetlen eredményei. A Microsoft minden 
felhasználójának javasolja az alábbi források igénybevételét: 


TA A Microsoft Security Notification Service [6] ingyenes 
szolgáltatás, amely elektronikus levélben értesíti az 
előfizetőket a biztonsági közlemények megjelenéséről. 
A szolgáltatás mindig pontos információkat szolgáltat, 
amelyek alapján megvédhetők a rendszerek a rosszin- 
dulatú támadásoktól. 

A A Microsoft [7] címen található, biztonsági erőforráso- 
kat összefogó oldalán olyan eszközök és útmutatók ta- 
lálhatók, amelyek segítségével biztonságosan bevezet- 
hetők a Microsoft termékek. 

A A Microsoft gyakorlati útmutatókat is állított össze, 
ezek ,Microsoft Systems Architecture" [8], , Security 
Operations Guide for Windows 2000 Server" [9] és 
, Security Operations Guide for Exchange 2000 Server" 
[0] címen érhetők el, segítségükkel a felhasználók 
számára nem jelenthet problémát a biztonságos beve- 
zetés és a kiszolgálók felügyelete. 

A A Microsoft ingyenes vírusvédelmi szolgáltatást és tá- 
mogatást is nyújt arra az esetre, ha a kiszolgálókat va- 
lamilyen vírussal vagy féreggel kapcsolatos probléma 
érintené. 


A cikkben szereplő URL-ek: 
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1999 óta többszáz rendszergazda vett részt biztonsági képzéseinken. Mi évek óta 
tudjuk és mondjuk, hogy a hackertechnikák ismerete nélkül nem lehet értelmes 
védekezési stratégiát alkotni. 

Tudja Ön, hogy működik a Buffer overrun, vagy a Session Hijacking? Milyen 
titkosító algoritmust használ a Kerberos-protokoll? Hogyan lehet switchelt hálózati 
környezetben minden forgalmat egy portra terelni a sikeres sniffelés érdekében? 
Ezekre a kérdésekre Biztonsági Workshopunkon adjuk meg a választ. 


További információ és jelentkezés: http://www.netacademia.net/workshop 


PRI felhasználói szemmel k 


Az előző számban igyekeztünk töviről hegyire bemutatni a nyílt kulcsú architektú- 


ra elemeit és előnyeit, de egy valamiről nem volt szó: ő pedig a felhasználó. A sok 
elmélet után lássuk a gyakorlatot: hogyan használhatjuk fel a Windows nyílt kul- 
csú architektúráját a napi munkánk során? Kalandozásainkhoz egy Windows 2000 
tartomány magyar Windows XP munkaállomását hívjuk segítségül. 


Tanúsítvány kérése a vállalati tanúsítványkiadótól 


Múlt alkalommal már volt szó a felhasználók tanúsítványtárá- 
ról (emlékeztetőül: az Internet Tulajdonságok párbeszédpanel 
Tartalom oldalán kattintsunk a Tanúsítványok gombra, vagy az 
MMC konzolba töltsük be a Tanúsítványok modult). Mit tehe- 
tünk azonban, ha ez üres, azaz a felhasználó még nem rendel- 
kezik tanúsítvánnyal? Importálhatjuk valahonnan (külső tanú- 
sítványkiadó szervezet által hitelesített tanúsítványt), de ha 
van, használhatjuk a céges tanúsítványkiadó szervezet (magya- 
rul a Windows 2000 Certificate Services) weboldalát is. Mivel 
a felhasználó a kulcspárt saját magának generálja (legalábbis 
általában, mondjuk smartcard-mentes környezetben), ezért ez 
egy felhasználói feladat (na persze, mondja a pokoli operátor 
:-) ). Ha a felhasználó ellátogat a céges CA weblapjára (ese- 
tünkben ez a http:/server.falatrax.hu/certsrv/ volt) és bejelent- 
kezik, néhány , Next" gombra kattintással hozzájuthat a tanú- 
sítványához. 


Tanúsítvány 
Általános ! Részletek ! Tanúsítványlánc 
Megjelenítés: ! ceMindenz 


Mező Érték 

ISÍCA kulcsazonosítója Kulcsazonosítósab d8 ci 01 3... 
[ECRL elérési helyei [1]CRL elérési helye: Elérési h. ,, 
FálHozzáférés a kiálítói inform... . [1JHitelesítési információ eléré. 
[álkibővített kulcshaszt 








! Ej ujjlenyomat b5 a4 e5 d1 8b 48 aa e8 la fa... 





Másik név: 
Egyszerű névzkkelemenőfalatrax.hu 
RFC822-névszkkelemenGfalatrax.hu 


Tulajdonságok szerkesztése. , . 











d Ellenőrizzük, hogy a tanúsítvány tartalmazza-e 
a felhasználó e-mail címét is! 


Rendszergazdaként arra kell figyelnünk, hogy a tanúsítvány ké- 
résének pillanatában az Active Directoryban a felhasználónak 
legyen beállított e-mail címe (User Properties, General oldal), 
ez ugyanis bekerül (vagy rossz esetben nem kerül be) a kiállí- 
tott tanúsítványba (RFC822-név mezőként). A tanúsítványt a 
felhasználó az ott beállított e-mailcímen használhatja titkosí- 


tásra vagy digitális aláírásra. 
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Digitális aláírás és titkosítás a levelezésben 


A legkézenfekvőbb alkalmazás valószínűleg a levelezés lehet. 
Az e-mailek digitális aláírása illetve titkosítása mind az Out- 
look Express, mind pedig a ,nagy" Outlook beépített szolgálta- 
tása. Kezdjük a kistestvérrel! 


S TT 


Általános Olvasás Visszaigazolás Küldés Levélírás 
Helyesítás-elenőrzér Biztonság Kapcsolat 


Vírusvédelem 
Jelölje ki a használni kívánt Intemet Explorer biztonsági zónát 
£ O Intemetes zóna (kevésbé biztonságos. de funkciógazdagabb] 
€) Korlátozott helyek zónája [biztonságosabb] 
(Figyelmeztetés. amikor egy alkalmazás a nevemben próbál meg levelet küldeni 
CIA gyanús mellékleteket ne lehessen megnyitni, se menteni 


Biztonságos levelezés 


93 A digitáls: azonosítók (tanúsítványok) lehetővé teszik a További információ 


személyazonosság igazolását az elektronikus 


tranzakciók során. Digitális azonosítók 


Üzenetek cágtáks aláírásához vagy titkosított üzenetek. 
fogadásához digíták: azonosító szükséges. Dig. azonosító beszerzése... ] 


I Minden kimenő üzenet tartamának és mellékleteinek titkosítása 
(O Minden kimenő üzenet dgítáks aláírása 


d Az Outlook Express általános beállításai 


Az OE általános beállításait az Eszközök / Beállítások parancs 
hatására megjelenő dialógusablak Biztonság oldalán találjuk. 
Az ábrán is megjelölt két beállítás általános érvényű, minden 
postafiókra hat (amennyiben az adott postafiókhoz később ren- 
delünk felhasználói tanúsítványokat is). A ,Minden kimenő 
üzenet tartalmának és mellékletének titkosítása" opció kivá- 
lasztása után az OE minden kimenő levelet titkosít, a , Minden 
kimenő üzenet digitális aláírása" hatására pedig külön kérés 
nélkül digitálisan aláírja azokat. 


d Az Outlook Express ál- 
talános beállításai 





Az általános beállítástól függetlenül, a titkosítást, illetve a digi- 
tális aláírást minden üzeneten egyenként is be-, illetve kikap- 
csolhatjuk, az ábrán is látható ikonok, vagy az Eszközök me- 
nüpont megfelelő parancsának segítségével. Az ikonok értel- 
mezéséhez érdemes megjegyezni, hogy a viaszpecsét ábra 
mindig a digitális aláírásra, a lakat pedig értelemszerűen a tit- 
kosításra utal. Az általános beállítás bekapcsolását egyébként 
érdemes megfontolni, mert előfordulhat, hogy nem szükséges 


minden kimenő levélre digitális aláírást tennünk (a levelezőlis- 


h 
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ze 





ta-szoftverek például rendre elrontják az eredeti leve- 
lek digitális aláírását, amikor a továbbított üzenetek 
aljára láblécet helyeznek, azaz módosítják a tartal- 
mukaW. 


További általános biztonsági beállítások 


Egy gondolat erejéig maradjunk még az általános beállításoknál. 


LESZ ATA CET TaZ TETT Ti 


Titkosított üzenetek —————— EGZ 8 
8 Figyelmeztessen, ha az üzenetek titkosítása gyengébb az alábbinát 





A titkosított üzenetek titkosítása saját magamnak is 
Digitálisan aláírt üzenetek — ———— — 
[JA digitális azonosító belefoglalása az aláírtan küldött üzenetekbe 
CT Üzenetek kódolása aláírás előtt (átlátszatlan aláírás) 
A feladók tanúsítványainak felvétele a címjegyzékembe 


Visszavonás ellenőrzése a 

e Visszavont digitális azonosítók keresése: 
O Csak amikor kapcsolódom az interhethez 
0 Sosem 


Id Az általános beállítások részletei 


Az általános beállítások párbeszédpaneljén a Speciális gomb- 
ra kattintva a fennt látható dialógus jelenik meg. A beállítások 
magyarázatai: 


A Figyelmeztessen, ha az üzenetek titkosítása gyengébb 
az alábbinál: a beállítás értelemszerű; bár kis hazánk- 
ban első lépésként azt kellene elérni, hogy egyáltalán 
használjunk titkosítást, amikor arra szükség van... 

A A titkosított üzenetek titkosítása saját magamnak is: az 
OE a titkosított leveleket az Elküldött üzenetek mappá- 
ba sem titkosítatlanul tárolja. A címzett kulcsával titko- 
sított üzenettel azonban nem tudnánk mit kezdeni (pri- 
vát kulcs híján nem tudnánk kinyitni), ezért az OE az 
ide mentett titkosított leveleket a mi kulcsunkkal is tit- 
kosítja. Ha az opciót kikapcsoljuk, nem fogjuk tudni ol- 
vasni a titkosítva elküldött leveleket. 

TA A digitális azonosító belefoglalása az aláírtan küldött 
üzenetekbe: ha kikapcsoljuk, a program a digitális alá- 
írással együtt nem küldi el a tanúsítványunkat, így a 
címzett a levelet csak akkor tudja ellenőrizni, ha a ta- 
núsítványunkhoz előzőleg már hozzájutott (különben 
, Ellenőrizhetetlen digitális aláírás" üzenetet kap) 

A Üzenetek kódolása aláírás előtt: kikapcsolt állapotá- 
ban az üzenet tartalma olvasható, , csak" a módosítását 
akadályozza meg a digitális aláírás. Ha ezt az opciót 
bekapcsoljuk, az OE a digitális aláírás előtt a levél tar- 
talmát is kódolja (nem titkosítja!), így a módosítás ne- 
hezebb. 

AA A feladók tanúsítványának felvétele a címjegyzékem- 
be: titkosított levél küldéséhez rendelkeznünk kell a 
címzett publikus kulcsával (azaz tanúsítványával). A 
tanúsítvány megszerzésének legegyszerűbb módja, ha 
a leendő címzett digitálisan aláírt levelet küld részünk- 
re, amiből mi azután ki tudjuk szedni a tanúsítványát 
is. Az OE még egy lépéssel megkönnyíti nekünk ezt a 
dolgot: az opció hatására minden digitálisan aláírt 





levél feladóját, persze a tanúsítványával együtt, auto- 
matikusan (kérés és jelzés nélkül!) felveszi a címjegy- 
zékünkbe. 

A Visszavont digitális azonosítók keresése: a CA-k nem 
csak tanúsítványokat adhatnak ki, de vissza is vonhat- 
ják azokat. Elvileg minden tanúsítvány elfogadása előtt 
meg kellene kérdeznünk az őt kiadó CA-t hogy az adott 
tanúsítvány érvényes-e (a visszavont tanúsítványok lis- 
tájának ICRLJ] elérhetőségét elvileg a tanúsítvány tartal- 
mazza). Ez azonban sokszor közvetlen internetes kap- 
csolatot igényel, ráadásul nem is gyors művelet. 


Az alapértelmezés ebben az esetben a visszavont tanúsítvá- 
nyok keresésének letiltása, csupán kényelmi okokból. Termé- 
szetesen biztonsági szempontból nem ez a legjobb megol- 
dás... 


Az aláíró tanúsítványok beállítása 

A digitális aláíráshoz tehát tanúsítványra van szükségünk. 
Miután minden postafiók más és más felhasználót jelké- 
pez(het), ezért a fiókokhoz rendelt felhasználói tanúsítványain- 
kat már nem általánosan, hanem az egyes postafiókhoz ren- 
delve tudjuk meghatározni. Nyissuk meg tehát a kívánt posta- 
fiók tulajdonságlapját (Eszközök / Fiókok / ... / Tulajdonságok) 
és ott kattintsunk a Biztonság fülre! 
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Általános ! Kiszolgálók ! Kapcsolat Biztonság " Speciális 
Aláíró tanúsítvány 


Az alábbi mezőben adja meg az aláíró tanúsítványt. Ez határozza meg az e 
fiókból küldött üzenetek aláírásakor használt digtáli azonosítót. 


Kömíves Kelemen 


Tanúsítvány: 


Titkosítási beállítások 
Válassza ki a tttkosításhoz használt tanúsítványt és algoritmust. A program 


ezeket hozzáfűzi digitálisan aláírt kimenő üzeneteihez, így mások ís 
küldhetnek Önnek titkosított e-madeket ezekkel a beállításokkal 


Tanúsítvány: 


Algoritmus: 


E A postafiók biztonsági beállításai 


Az ablak felső részén a levelek aláírásához használatos tanú- 
sítványunkat adhatjuk meg. A Kijelölés... gombra kattintva 
megjelenik egy lista a használható tanúsítványokkal. Ha ez a 
lista üres, ellenőrizzük, hogy a tanúsítványunk tartalmazza-e 
az e-mail címünket (lásd a cikk elejét), és hogy az pontosan 
megegyezik-e az Általános oldalon itt megadott címmel. 


Beállíthatjuk azt is, hogy a nekünk küldött leveleket mely tanú- 
sítvány publikus kulcsával titkosítsák be — és ez nem feltétlenül 
ugyanaz a tanúsítvány, amit a digitális aláíráshoz használunk. 
Ezen kívül itt megadhatjuk a nekünk küldött levelek titkosításá- 
nak algoritmusát is (ez tulajdonképpen csak egy kérés, a levél 
feladója felé). A sorrendje tükrözi azok biztonságát, tehát a leg- 
erősebb az egyébként alapértelmezésben is kiválasztott 3DES 
algoritmus. 





Digitálisan aláírt levelek 


Próbáljuk ki, amit eddig tanultunk! Ha megvan a tanúsítvá- 
nyunk és a fiók beállításainál is megadtuk, küldjünk egy leve- 
let a kollégánknak, de mielőtt elküldenénk, kattintsunk a Digi- 


tális aláírás ikonra. Címzettünk megkapja a levelet, és a követ- 
kezőt láthatja: 


Álalároz . Fiásztetek  Adutaztorág 
Dátum 2002. december 12. 1306 
Címzett Teszt Elek 
Tárgyi Vegtáksa alót ovál 
Adatbíztonságt . Cegtáksan aláírva és megjeletve 


Dagtáks stöívás 
ogyáksan alóiíta— kbelomanőlálonaa har 
2 lazan tattalma módos tartan 
Aa oláírán megbizható 

) Sza Elek! nálla 

Ez torágo miszsgarolást bért 





agtábzan aláurt levelei 
VATÉKANNRRN TGKNÁNŐ Dazáks ertrosító vattevonáta eleréneve 





üléi Vszavonán Hagola (4.3 agesoha a maszavonás 
ed etmrészését[ 


Jemen 


Bitonság cínka 


Takonítás 
A tágtalom ér a maláta bonítottak 
Tévcaítva a következő hazználatárvat 





:d Egy digitálisan aláírt levél 


A levél fejlécében megjelenő , Digitálisan aláírva és megjelöl- 
ve" felirat, valamint a pecsét ikon tájékoztat arról hogy egy di- 
gitálisan aláírt levéllel van dolgunk. Ha a pecsétre kattintunk, 
egy dialógusablak jelenik meg, amiben megtekinthetjük az alá- 
írás további jellemzőit, körülményeit, a Tanúsítványok megte- 
kintése gombra kattinva pedig a küldő tanúsítványait illetve tit- 
kosítási beállításai (lásd előbb) is. Itt találunk egy , Felvétel a 
címjegyzékbe" gombot is, mire ide eljutottunk, az OE valószí- 
nűleg ezt már régen megtette helyettünk :-) (hacsak ki nem 
kapcsoltuk ezt az opció). 


Mi történik, ha a digitálisan aláírt levél tartalma , menet köz- 
ben" módosul? Az OE azonnal figyelmeztet minket, ijesztő fe- 
kete háttéren ijesztő piros felirattal: 


4 Otgítálísan aláírt levél 
Uj Szerkesztés Nézet Eszhözök Üzenet Súgó 


9-g.a xx 90 
feladót Köníves kalemen 

2002, december 12. 13100 

Teszt élek 

Dsgtétsan alárt levél 
Adatbizttonsági  Digítábsan aláírva - érvénytelen alálrás 


MIT 





kid Az üzenet tartalma kézbesítés közben módosult 


Az üzenetet ettől egyébként még megnyithatjuk, ha az oldal al- 
ján található gombra kattintunk. 
Titkosított üzenetek 


Ha már rendelkezünk egy címzett tanúsítványával, titkosított 
üzenetet is küldhetünk részére. Nincs más dolgunk, mint a le- 
vél megírásakor rákattintani az Üzenet titkosítása ikonra: 
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8 Az üzenet titkosítása csak egy kattintás 


Ugyanez a , nagy" Outlookban 


A Outlook Express nagytestvére, az Outlook esetében is a fent 
leírtak igazak, csak a dialógusablakok festenek egy kicsit más- 
képp. Lássuk az Outlook Eszközök / Beállítások / Adatvédelem 
oldalát! 


Beállítások 
Beállítások ] Levelezés beálitásai [ Levélformátum ] Helyesírás-ellenőrzés . Adatvédelem [Egyéb [ 
Biztonságos elektrondaus levél 
IT Tartalom és mellékletek ttkosítása a kimenő úzeneteknél 
(7 Digítális aláírás hozzásdása a kimenő üzenetekhez 
[7 Egyszerű szöveggel aláírt üzenetek küldése 
[7 Kérjen visszaigazolást az összes aláírt S/MIME típusú üzenet biztonságos voltáról 


Alapértelmezett beálítás:  [5ajót 5/MIME beálitások (Helemeng 7 


Biztonságos tartalom 
, hogy a parancsfájlok és sz aktív 


A biztonsági zónák segítségével megszabható, 
úg tartalom futtathatók legyenek-e a HTML üzenetekben. Jelölje Hi a Microsoft. 
Internet Explorer biztonsági zónát. 


Zóna: (69) ritott helyek - 


Zóna beállításai... 








Digitális azonosítók (tanúsítványok) 


A digitális azonosítók vagy tanúsítványok olyan dokumentumok, amelyek segítségével 
igazolni tudja magát az elektrondus tranzakciók során. 





Importálásfexportálás.,. ) Digitális azonosító beszerzése, .. 


mok [méga ]/ Akamez 





2 Az Outlook biztonsági beállításai 


A négy kiválasztható opció közül az első kettő megegyezik az 
OE-ben leírtakkal; a harmadik opció az OE , Üzenetek kódolá- 
sa aláírás előtt" lehetőségével egyenrangú (csak pontosan el- 
lenkezőre kell beállítani). A ,Kérjen visszaigazolást az összes 
aláírt S/MIME típusú üzenet biztonságos voltáról" kapcsoló ha- 
tására pedig a levélben kézbesítési nyilatkozatot kérünk, még- 
pedig arról, hogy az sértetlenül megérkezett a címzetthez. 
Ugyanezt a beállítást az Outlook Express-ben a digitális aláírás 
bekapcsolása után a levél Eszközök menüjében , Biztonságos 
visszaigazolás kérése" néven találjuk meg. 


A részletesebb beállításokat az Outlook profilokban tárolja, és 
a levél küldésekor kell kiválasztanunk, hogy melyik profil be- 
állításait használjuk; persze rábízhatjuk ezt az Outlookra is, 
mert egyrészt itt beállíthatunk egy alapértelmezést, másrészt 
pedig az Outlook képes automatikusan is eldönteni, hogy a 
rendelkezésre álló profilok közül melyiket használja. Esetünk- 
ben egy S/MIME profil áll rendelkezésre, aminek részleteit a 
Beállítások gombra kattintva tekinthetjük meg: 
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Biztonsági beállítások módosítása 
Biztonsági beállítások 
Biztonsági beállítások neve: 
Saját 5/MIME beálítások (kkelemenGfalatrax.hu) s] 


Biztonságos üzenetformátum: . (S/MIME s 





[7 Alapértelmezett biztonsági beállítás ehhez a biztonságos üzenetformátumhoz 
[7 Alapértelmezett biztonsági beállítás az összes biztonságos üzenethez 


z élsááor és SE ESSÉL ESET JESMS EASY Es MRS) 


Tanúsítványok és algorltmusok 


Aláíró tanúsítvány? zta [/véssztás.. ] 
Kivonatoló algoritmus: [ears] 

Titkosítási tanúsítvány: [őv eteza TT Kiválasztás... 
Titkosítási algorítmus: [BEST] 


[7 A tanúsítványok elküldése az aláírt levelekkel együtt 
e ők eza eds. 


E Biztonsági beállítások profilja 


Ebben az ablakban határozhatjuk meg az aláíráshoz illetve tit- 
kosításhoz használt tanúsítványokat és algoritmusokat is. A ta- 
núsítványok kiválasztására ugyanaz igaz, mint az OE esetében. 


Levélküldés Outlookkal 


Outlookban előfordulhat, hogy a digitális aláírás és titkosítás 
ikonjait a Testreszabás segítségével nekünk kell a parancsiko- 
nok között megjelenítenünk, ha azonban megvan, akkor a 
használatuk itt is egyszerű. 

JTEZTTETZTEz 


Eájf Szerkesztés Nézet Beszúrás Formátum Eszközök Műveletek Súgó be 
zakddés 8 BMd MO ! 4 vo Ejsestésok.. 4 (BD. 


Teszt Elek (tesztepfalatrauhul 














Tággyi főstiook digzálisan alárt üzenet 





E Az elővarázsolt parancsikonok az Outlookban 


Ikonok híján (vagy a részletek megtekintése érdekében) kattint- 
sunk a (Nézet /) Beállítások parancsra, ott pedig az Adatvéde- 
lem mezőben a Biztonsági beállítások gombra. 





GÉNT A LNI ETT 


[7 Az üzenet tartalmának és mellékleteinek titkosítása 
[7 Digitális aláírás hozzáadása az üzenethez 
(7 Küldés nyílt szöveggel aláírt üzenetként 
(7 Kérjen visszaigazolást az üzenet biztonságos voltáról 


Biztonsági beállítások 
Biztonsági beállítások: 


Saját 5/MIME beállítások (kkelemenGfalatrax v]  Beállttások megváltoztatása... 


E Az üzenet adatvédelmi beállításai 


Itt bekapcsolhatjuk az üzenet titkosítását, illetve a digitális alá- 
írás jellemzőit (nyílt aláírás, biztonságos visszajelzés), vala- 
mint kiválaszthatjuk a használt profilt (itt épp kijelöltük a fel- 
használó saját beállításait, de hagyhattuk volna az Alapértel- 
mezett, vagy Automatikus beállításokat is). A beérkezett üze- 
neteken ugyanúgy megjelenik a pecsét illetve a lakat; rájuk 
kattintva az OE-től némileg különböző, de tartalmában hason- 
ló dialógusablakokat látunk, és ellenőrizhetjük a digitális alá- 
írás illetve a titkosítás jellemzőit, paramétereit és persze a ta- 
núsítványokat. 


vett ag w 4.4 h 444 E 8 








KZT] 


Klima 


Az üzenetek títkosítási és digtáls aláírási) 4 
egyes ögtéis alárási rétegekben több £7 ENE Z ATS 


7 Tárgy: Tkokt 


CEST] 


aláírási rétegeket tartalmazhatnak. Az 
lehet, 


üzenetek ttkosítási és 
ZETT egyes agtáls alátás rétegekben több alátás 6 
7 Tárgy: Tok 
57 Titkosítási réteg 
57 Dgtáls aláírási réteg 


5/ Digzáls aláírási réteg c 
44 Aláíró: tesztepfalatrax hu 


5/ Aláíró! tesztéjfalatrax hu 


aláírója tesztöfalatrax hu, módszer: RSAJSHAT helyi 13126:57 


sZ f7. Mindig figyelmeztessen a bitonságos elektronikus levelek hbára, 


Megbízhatóság... Bezárás 


5 Digitálisan aláírt és titkosított levél jellemzői 





Dokumentumok digitális aláírása az Office XP-ben 


Az adatok módosíthatatlansága nem csak a levelezésben, de 
az általános dokumentumok kezelésénél is fontos. Az Office 
XP-től kezdődően a dokumentumainkat digitális aláírással lát- 
hatjuk el, ami azután garantálja azok mósítatlanságát. A digitá- 
lis aláírás bekapcsolásához az Eszközök / Beállítások párbe- 
szédpanel Adatvédelem (pl. Word esetén) vagy Biztonság (pl. 
Excel esetén) oldalán keressük meg a ,Digitális aláírások" 
gombot. 





Korrektúra  ] Felhasználó ]  Kompatibíltás ]  Alapkönyvtár 
Í Általános ] Szerkesztés ] Nyomtatás ] Mentés Adatvédelem 


ML ET LETT PTE 
Aláítások ) 


Az Office által létrehozott digitális aláírás nem biztos, hogy tartalmaz 
eánYáaNttti A digítális aláírásokról továbbbi részleteket a 
súgóban olvi 

AA dokumentumot az alábbiak látták el digitális aláírással: 

Dátum 
CÉlköníves Kelemen Falatrax Enterprise CA 2002.12.12. 





[7 Új aláírásokkal rendelkező tanúsítványok csatolása 





Súgó 


Id Word dokumentum digitális aláírása 


Itt a Hozzáadás gomb segítségével kiválaszthatjuk az aláírás- 
hoz használt tanúsítványt. Egy dokumentumot természetesen 
több felhasználó is aláírhat, egyetlen szabály van: az aláírások 
elhelyezése után a dokumentum tartalma nem változhat, kü- 
lönben elvesznek a digitális aláírások. 


DOscH4gu 8A7 BARON A IT 100 


Aa Normál 2 Tmes New Roman 





Ha velem élsz, úgyis bárhol jó 

van amit el nem lep a hó 

Ha velem élsz, nem számít a tél 

csak közelebb fúj minket a szél 
z a[5]2 aj 


Oldali Szi 








Ha pedig a dokumentumban módosítás történik, és ezeket a 
módosításokat szeretnénk elmenteni, a Word figyelmeztet 
minket, hogy ezzel elveszítjük a dokumentumon található di- 
gitális aláírásokat. 


Lee Zl] 


hy A mentés az összes digitális aláírást törli a dokumentumból, Biztos, hogy folytatja? 


fetased] . és) 





E A digitálisan aláírt dokumentumok módosításait 
nem tudjuk elmenteni: 
vagy a változások vesznek, vagy az aláírások 


Titkosítás a fájlrendszerben: az EFS a felhasználó szemével 


A Windows 2000/XP titkosító fájlrendszerével (az EFS-sel) kap- 
csolatban sokat írtunk már, és még fogunk is írni. Most azon- 
ban picit nézzük a dolgokat a felhasználó szemével: ő titkosít- 
hatja és — ha megvan a hozzávaló kulcsa — dekódolhatja is a 
lemezen található fájlokat. Az infrastruktúrális probléma meg- 
oldása pedig az IT dolga :-) . A Windows XP az EFS kezelésé- 
ben is változásokat hozott a Windows 2000-hez képest. A két 
legfontosabb változtatás a titkosított fájlrendszer terén az Offli- 
ne fájlok helyi gyorsítótárának titkosíthatósága, a másik pedig 
a felhasználóbarát(abb) EFS dialógusok; nem is beszélve arról, 
hogy az XP segítségével a felhasználók végre egymás között is 
megoszthatják titkosított dokumentumaikat (azaz, egy adott 
fájlt több felhasználó nevére is lehet titkosítani). 

Ha egy titkosított fájl tulajdonságlapján a Speciális gombra kat- 
tintunk, a megjelenő párbeszédpanelen bekapcsolhatjuk a fájl 
titkosítását. Az XP újdonsága az itt megjelenő Részletek gomb, 
tte létrehozott dialógusablak, amelyben megtekint- 
hetjük a fájlt titkosító felhasználó és az adathelyreállító ügynök 
tanúsítványát is. 





CADocuments and Settingsikkelemen!DokumentumokVontos doc - ti... E) 


A fájlhoz az alábbi felhasználók férhetnek hozzá: 


[ Felhasználónév 
Körmíves Kelemeníkkelemen falatra huj 


Tanúsítvány ujj. 
8544 E5D1 884. 


( Helyreállító ügynök neve. 
Administratot 








[d A titkosított fájl ,, tulajdonosa" és 
az adathelyreállító ügynök neve az EFS tulajdon- 
ságai között 


tech.net Wet tTa tg w 





Ha itt a Hozzáadás gombra kattintunk, a megjelenő 
listából kiválaszthatjuk azt a tanúsítványt, amit még 
szeretnénk felvenni a fájlt olvasni (azaz dekódolni) 
képes felhasználók listájába. 





ETTSZ ITÉLT] 


Jelölje ki annak a felhasználónak a tanúsítványát, akivel meg akarja osztani a 
hozzáférést, 


Lejárat dátuma 
2003.12.12. 
2003.12.12. 


( Tulajdonosi 7 Rövidnév 


EHTeszt Elek Nincs 
(Elkőmíves Kelemen Nincs 


1€ 
EREKET Cor JC] 


d Itt választhatjuk ki, hogy kit veszünk még fel a 
titkosított fájl ,gazdái" közé 


Ebben a listában minden olyan tanúsítvány megjelenik, amely 
az EFS használatára alkalmas; ez a lista a tanúsítványtárunkból 
készült, ahol az előző levelezésnek köszönhetően már a kollé- 
ga (Teszt Elek) tanúsítványa is megtalálható. Ha ez nem elég, a 
Felhasználó keresése gombra kattintva az Active Directoryban 
is keresgélhetünk, felhasználó, illetve a nevükben közzétett ta- 
núsítvány után. Mituán a tanúsítványt kiválasztottuk, a Win- 
dows a fájlt az ő részére is titkosítja, a listában pedig megjele- 
nik az újonnan felvett felhasználó neve is: 


C:IDocuments and SettingsikkelemeniDokumentumokWontos.doc - ti... Pe) 


A fájlhoz az alábbi felhasználók férhetnek hozzá: 
Tanúsítvány ujlenyomata ] 
B5A4 E5D1 8848 AAEB 1AFA 4£/ 
2C1B 1364 0319 872E 5EBE EB! 


Felhasználónév 
Kömíves Kelemeníkkelemenfalatrax.hu) 
Teszt ElekítesztSfalatrax.hu) 


a 





d A titkosított fájlt ezentúl már mindkét felhasználó 
kinyithatja 


Fülöp Miklós 
mickCnetacademia.net 
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Az IP9ec és a tanúsítványok 


Nyáron indult IPSec cikksorozatunkban eljutottunk az IPSec csatorna felépítéséig, 
de nem szóltunk részletesen a tanúsítványalapú azonosítási üzemmódról. Később 


a VPN cikksorozat L2TP-vel foglalkozó részében már bemutattuk az IPSec ezen 
. üzemmódját, mégis úgy gondoljuk, jó, ha tisztán az IPSecre koncentrálva, a PKI 
jegyében újra összefoglaljuk a tudnivalókat. 


Az IPSec azonosítási módjai 


A biztonságos csatorna kialakításának érdekében az IPSec 
mind a kliens, mind a kiszolgáló ,személyazonosságáról" 
megbizonyosodik. Ehhez a következő háromféle azonosítási 
módot használhatja: 


JA Szöveges azonosítás: az azonosításhoz használt szöve- 
get mindkét eszközön meg kell határoznunk. Ez a leg- 
kevésbé biztonságos, viszont legegyszerűbben hasz- 
nálható üzemmód. 

HA Kerberos azonosítás: a tagok egymást a Windows 2000 
Kerberos protokollja segítségével azonosítják. Win- 
dows 2000 tartományon belül, tartományi tagok eseté- 
ben jól működik, de épp ez a hátránya is: ha nincs el- 
érhető tartományvezérlő, vagy esetleg valamelyik tag 
nem tartományi tag, ez az azonosítási mód nem hasz- 
nálható 

A Tanúsítványalapú azonosítás: az IPSec motor a tagok 
azonosításához az általuk küldött nyílt kulcsú tanúsít- 
ványt használja. Ez a legbiztonságosabb, és egyben 
legnehezebben használható üzemmód. 


A tanúsítványkezelő konzol 


A számítógép tanúsítványának kezeléséhez jó, ha elkészítjük a 
saját, testreszabott MMC konzolunkat (ehhez ugyanis nincsen 
előre elkészített rendszergazdai eszköz). 





This snapán wil always manage certificate for: 





O My user account 
[dom Management O Service account 
) EEventviewer Computer account 


I Foldet 


[d A számítógép tanúsítványait kezelő MMC konzol 


Indítsunk el egy üres MMC-t, majd adjuk hozzá a Certificates 
modult, a következő ablakban pedig válasszuk a Computer ac- 
count lehetőséget (azután pedig a Local Computert, minthogy 
a helyi számítógépet szeretnénk kezelni). Ha jól csináltuk, a 
konzolfában megjelenik a számítógépünk tanúsítványtára — 
mentsük el az eszközt, később még jól fog jönni. 


Tanúsítványkérés a számítógép részére 
Ha a Windows 2000 tartományunkban üzemel Enterprise 


módban futó Certificate Services szolgáltatás (azaz CA), a szá- 
mitógépeket egyetlen Group Policy beállítás segítségével ráve- 


4: KI Áá. Witt. ui ndows 


hetjük arra, hogy a tanúsítványkiadótól automatikusan kérje- 
nek maguknak tanúsítványt, sőt, szükség esetén frissítsék, meg 
is újítsák azt. 





















d Windows Settings 
2 B) securty Settngs 
4 Ed Account Polcies 
4). 2gj Local Polcies 
141. 2 Event Log 
19 Ő Pestrieted Groups 
141 LD System Services 
11 CD Registry 
141 CA) File System 
2 (ÚJ Pubke Key Polcies 
(I Enerypted Data Recovery Agents 
I Automatk Certficate Reguést Settngs 
(CJ Trusted Root Certffication Authorities 
I Enterprise Trust 
143. 8), 1 Securty Polcies on Active Directory 


Certificate authortties: 


Fálatrax Enterprise CA 
[automatic Certificate Reguest Settings store contains om 


E Automatikus tanúsítványkérés beállításai a tartományi 
alapértelmezett csoportos házirendben 


Ehhez a megfelelő csoportos házirendben (ha tartományi 
szinten akarjuk a beállítást terjeszteni, akkor legjobb az ala- 
pértelmezett tartományi házirendben) meg kell adnunk a tar- 
núsítványkiadó szervezet nevét; a (Computer Settings / ) Secu- 
rity Settings / Public Key Policies / Automatic Certificate Re- 
guest Settings alatt hozzunk létre egy új kérés-objektumot; a 
kérés típusa legyen Computer, a varázsló következő oldalán 
pedig válasszuk ki az Enterprise CA-t, akitől a tanúsítványt a 
számítógépek kérni fogják. 





Mead 


 al8lx] 


ÍTÉJ File Acton View Fávortes Window. Help 


6-7 lme ABBÉ 

















fJ Cönsole Rost 1ssved To Issusd By Expiration a. ] intended Purposes 
8 TE Ket e Computer) [(iduppro.falatraxihu  Falatrax Enterprise CA 12/12/2003 Cent Authenticatlon,., 
2 (J Personi 


1 certficátes 
s (II Trústed Root Certéizatlon 
4 (I Enterprise Trust 
4 (JI intermediate Certficatton 
1 I Trusted Publishers 
4 (II Untrusted Certficates 
4 (II Third-Party Root Certficat 
4 (I Trusted People 
9 (I Certficate Enrolment Reg 
e Eg spe 


Ed A számítógép automatikusan kért tanúsítványa 


A beállítás érvényre jutása után a tartományi számítógépek (ki- 
szolgálók és munkaállomások egyaránt) tanúsítványt kérnek 
maguknak. Erről meg is győződhetünk, ha belenézünk a szá- 
míitógép tanúsítványtárába. Figyeljük meg, hogy a tanúsítvány 
tulajdonosa itt pl. ,xppro.falatrax.hu", azaz maga a számító- 
gép. Jegyezzük meg azt is, hogy ki a tanúsítvány kiadója (, Fa- 
latrax Enterprise CA"), ugyanis az IPSec-ben ennek van a leg- 
nagyobb jelentősége. 


tech.net 


Mit tehetünk, ha a számítógép (vagy akár egy hardvereszköz, 
mondjuk router) nem tartományi tag, és nem képes automati- 
kusan tanúsítványt kérni? Akkor egyszerűen szereznünk kell 
neki egyet. Windowsra például úgy szerezhetünk legegysze- 
rűbben, ha igénybe vesszük a Windows tanúsítványkiadó szer- 
vezetének weboldalát. 






A Microsoft Certifjeste Services - Microsoft Internet Explorer JT 
File Edt View  Favortés Tools Help pi 
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I 
Advanced Certificate Reguest ] 

I 
Certificate Template: ] 











Admministrator § 
Key Options: 
CSP. " Microsott Base Cnyptographuc Pronder vi Ő ü 
Key Usage OExchange . ÖSignature Both 
Kay Size SI) BM OM trommonkayazar 42. 1028) 





Jüte new key set 
jet the container name 

Ö1se existing key set 

CI Enable strong private key protection 


CJMark keys as exportable 

(Else local machine store 
You must be án administrator 10 generate I 
9 key in the koca! machine store 












d Tanúsítványt a számítógépünk számára is kérhetünk 


A weboldal lépései között válasszuk az Advanced Certificate 
Reguest opciót, azután pedig kérjünk Administrator , típusú" 
tanúsítványt, és ne felejtsük el bekattintani a , Use local machi- 
ne store" pipát sem! Ez utóbbi hatására kerül be a generált 


kulcspár privát része a számítógépünk tanúsítványtárába. 


Az IPSec szempontjából mellékes, hogy a használt tanúsítvány 
kinek a nevére szól (a fenti például az Administrator nevére fog). 
A lényeg az, hogy a tanúsítvány érvényes legyen, a felek tanú- 
sítványai ugyanattól a tanúsítványkiadótól származzanak, vala- 
mint a tanúsítványt kiadó szervezetben mindkét fél megbízzon. 
Ez utóbbi feltétel csak akkor teljesül, ha a tanúsítványkiadó ta- 
núsítványát megtaláljuk a számítógépünk tanúsítványtárában, 
a megbízott kiadók (Trusted Root Certificate Authorities) listá- 
jában — ha a CA nem vállalati kiszolgáló, előfordulhat, hogy a 
tanúsítványát ide még külön importálnunk kell. 


Tanúsítványalapú azonosítást használó IPSec házirend 
létrehozása 


A tanúsítványok létrehozása és/vagy importálása után neki- 
kezdhetünk a tanúsítványalapú azonosítást alkalmazó IPSec 
házirend kialakításának. 









Authentication Method ú 
To sdd muliple suthentőcation melhodt, edit the secuuíy ne alter condletnotte HÉ 
IP Security rule wizard. s 





Set the initial authentcation method for this secuity rulec 
7 Active Directory default (Kerberos V5 protocol) 
(7 Use a certiicate írom this certiication authodlty (CAT 


HZ ZSESEZZSEE EE ZE ZEN MA e 


€ Use this stting to protect fAYATZETTT 











Select the certíication authority that you reguire for IPSec authenticatton when. 
tsíng this securíty rule, 









 ksmsedtó — Assusdby Intende... FAA 
! EBlmirosoft Root Certfia.., . Mxrosoft Root Certfiea...  cABD Me 
/ Blmirosoft Root Authorty Microsoft Root Authorty CA Me 
" EHMierosoft Athenticodet..  Mirosoft Authentcode...  SzeweE... Me 
Ecopwight (c) 1997 Már... . Copyright (€) 1997 Mir... Time Sta... Mc 





Id Az azonosítási mód kiválasztásakor meg kell határoz- 
nunk az általunk megbízott tanúsítványkiadó szervezetet 


tech.net Wat ti ET w i 


Amikor az azonosítási módok kiválasztásához érke- 
zünk, válasszuk a , Use a certificate..." opciót, és a 
Browse gombra kattintva keressük ki a kívánt tanú- 
sítványkiadó szervezet tanúsítványát a megjelenő 
listából. Egy házirend-szabályon belül egyébként 
több azonosítási módot is megadhatunk, és ezek közül persze 
akár több tanúsítványalapú azonosítás is helyet kaphat. 





izgat ei 


IP Filter List l Filter Action l 
Authentication Methods — ]  TunnelSettng  ] — ConnectonType ) 
a Authentication methods specify how trust is established 


between computers. These authentication methods are 
offered and accepted when negotiating security with another 





computer. 
Authentication method preference order: 
Method Details 
Certification authority Ezfalatraxöfalatrax.hu, Cs 
Kerberos 
Preshared Key TITOK 
e ; 





Id Együtt a három azonosítási mód, a legerősebbtől a 
leggyengébbig.. a lista sorrendje számít 


A fenti szabály értelmében tehát a Windows először a tanúsít- 
ványalapú azonosítással próbálkozik, majd annak sikertelensé- 
ge esetén a Kerberos, végső esetben pedig a szöveges azonosí- 
tást választja. Az érvényes házirendbeállításokat, köztük az 
azonosítási módok listáját (és sorrendjét) Windows 2000 alatt a 


metdiag /debug /test:ipsec 





Windows XP alatt pedig az alábbi parancs segítségével ellen- 
őrizhetjük: 





A következő ábrán jól látható a három azonosítási mód, és az 
azonosításhoz ,használt" tanúsítványkiadó szervezet azonosí- 
tója is. 






EZT] 
















olicy Id : (287C1BC- 
Flags : 2 CDefault) 
Soft SA expíration time : 28800 
Öffer 
3DES SAL DH Group 2 
orron szískmode 1ínit : B. Láfetíne Kbytes/ZBBRBseconde 
er 


3DES MDS  DH Gros 
uickmode línít 


Offer 43 
DES SHAL DH Gros 
línít 


feknode 
offer ne" 


Lifetíne BKbytes/ZBBOOseconds 





Lífetíne BKbytes/ZBBBBseconds 


MDS  DH Group 1 
: ne feknode lánit : 0, Láfetíne Obytes/ZBBROseconds 
: 192.168.77.2 
: True 





ld: CB698FF51-BBFD-4F46-B136-C74F8F9287F6) 
1 : RSA CCert) Signature efalatraxöfalatrax.hu, C-US, $-Budapest 
Falatrax, OU CN-Falatrax Enterprise CA" 

rberos 

: Preshared Key : "TITOK" 
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Történelem, avagy a menedzserkalkulátor 


Jó évtizedes termék a magyar piacon egy érdekes elektronikus 
kütyü, a menedzserkalkulátor. Ez a zsebszámológép méretű 
eszköz a számológépfunkciók mellett neveket, telefonszámo- 
kat tudott tárolni, illetve egy ébresztőóra is megtalálható volt 
benne, majd a fejlettebb modellekben egyszerű határidőnapló- 
funkciók is megjelentek. A memóriájuk igen kicsiny volt (8-64 
kbyte), 50-150 nevet lehetett beléjük táplálni. Karakteres, mo- 
nokróm LCD megjelenítővel voltak ellátva. A billentyűzetük 
piciny volt, természetesen a magyar ékezetekkel galádul bán- 
tak. A beleírt adatokat többnyire nem lehetett elmenteni. Így 
egy elemcsere az adatok végét is jelentette. 

Aztán a PC-k térnyerésével, illetve az irodai alkalmazások elő- 
térbe kerülésével megjelent az igény az összekapcsolásra, 
szinkronizációra. Miért is ne vihetném el a PC-m egy részét 
magammal? 


A technológia fejlődött, nem csak a memória mérete nőtt meg, 
megjelentek a különféle kiegészítők, programok. 

Az egyik igen érdekes újítás az érintésérzékeny képernyő volt, 
ahol az adatbevitel eszköze egy műanyag toll. (Az egyik első 
modell a Apple Newton volt.) Lassan de biztosan eljutottunk a 
szemévyi digitális asszisztenshez. (Personal Digital Assistant) 

A Microsoft is megjelent a PDA piacon a Windows CE operá- 
ciós rendszerrel. A 3.0-s verziónak a Pocket PC2002 nevet 
adta. 


A dromedár púpja 


A koncepció szerint a PDA púp a PC-ken. Alaptartozék az 
adatkábel, mellyel összeköthetjük vele, illetve a valamilyen il- 
lesztő, konverziót végző kommunikációs szoftver. Bár a leg- 
több eszköz használható PC nélkül is, azonban igazán kiegé- 
szítőként remekel. 


Mi az, amit minden PDA tud: 


HA Telefonszámok, nevek tárolása (Névjegyek kezelése) 
IH Határidőnapló kezelése 

HA Számológép 

HA Jegyzetek készítése 


Az áldozat: Compag iPag 3870 


StrongArm SA1110-es processzor 
64 Mbyte beépített RAM 
32 Mbyte beépített ROM 
320x240, 64k színmélységű, érintésérzékeny TFT LCD panel 
Beépített MultimediaCard bővítőhely 
beépített Bluetooth támogatás 
beépített Iníravörös port 
Beépített mikrofon, hangszóró 
iPag bővítőkabáttal bővíthető: 
HI CompactFlash kabát 
JA PCMCIA kabát (1, illetve 2 slot) 
3 GSM, GPRS kabát 


A rendszergazda esete a 
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Összecsukható billentyűzet 
Szivargyújtó töltő 


Autós dokkolóegység. Rendkívül jó konstrukció (kérem küldje- 
nek be rekordadatokat, kinek hányszor esik ki mondjuk a Kő- 
bányai úton végighajtva 50 km/h sebességgel.) 


A külseje kifejezetten megnyerő a krómszínű fémburkolatával, 
sovány testalkatával. Megjelenésének kifejezetten árt a hozzá 
adott por- és kijelzővédő műanyag tok. Kifejezetten ormótlan- 
ná, nehézzé azonban a fekete műanyag kabát felhelyezésével 
válik. 

Nekem a kiegészítők összeillesztésekor mindig a Csupasz pisz- 
toly egyik jelenete jut eszembe, amikor is hősünk egy tűzharc 
kezdetén egy pisztolyt vesz elő, egyik kiegészítőt a másik után 
szereli fel rá, majd a jelenet végén egy légvédelmi üteget ke- 
zelget. 

Külön említést érdemel a beépített akkumulátor. Ez többnyire a 
legváratlanabb helyen és időben merül le. Az eszköz mentésé- 
re szolgáló programok használatát hamar megtanuljuk ennek 
köszönhetően, hiszen nemcsak kikapcsol eszközünk, de ha- 
marosan minden adatot el is felejt, hála a gyenge lábakon álló 
memóriavédelemnek. Ez utódjában a 3970-esben sem válto- 
zott sokat. 


Mi van a dromedár púpjában? 


Első bekapcsoláskor egy képernyőbeállítás, majd néhány alap- 
adat megadása és egy — sokadszorra eléggé idegesítő, ki nem 
kerülhető — demó után harcra kész a PDA. 

Kezdetben az alábbi programok vannak rá telepítve: 

Naptár 

Névjegyek 

Levelezés 

Feladatok 

Feljegyzések 

Zsebword 

Fájlkezelő 

Számológép 

Activesync 

Internet explorer 

Médialejátszó 

Bluetooth kezelő 

Backup Utility 

MSN messenger 

Terminál szerver kliens 

Microsoft Reader 
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Ez ránézésre is elég sok. Használatuk viszonylag egyszerű. Az 
Internetről sokféle szoftver letölthető. A [1] elég jó kiindulási 
alap. 

Elszomorító, hogy a magyar támogatás még mindig nem alap- 
tartozék. Azaz a hosszú ékezetek használatához más gyártó 
termékére van szükségünk! [2] 


tam áz Ve ecnnet 


Hasonlóan (nem) támogatott a nyomtatás is. Ehhez is más gyár- 
tó felé kell tekintgetnünk. [3] 

A mobiltelefonokkal való kapcsolattartás sem tartozik az 
erőssége közé (azért adathívást kezdeményezni tud), a kielé- 
gítő eredményekhez megint csak a 3. gyártó segíthet minket 
hozzá. [2] 

Egy idő után mindenkiben felvetődik a kérdés, hogy miért nem 
olyanok a képernyő arányai, mint általában a számítógépek- 
nél. Természetesen erre is 3. gyártó ad megoldást. [4] 

Aztán, otthon, jól megérdemelt pihenésünket töltve szöget 
üthet a fejünkbe, a TV-t bámulva a karosszékből, hogy ezen 
is van inírakapu, meg a távirányítónkon is. Ez már másoknak 
is eszébe jutott! Nosza, hajítsuk ki az ablakon megunt távirá- 
nyítóinkat! [5] (Ez annyira megtetszett a gyártónak is, hogy 
a következő verzióban már alapszoftver! (39xx Nevo] Ehhez 
egy kicsit erősebb inífrakaput is beleszuszakoltak ebbe a szé- 
riába.) 

A PC-vel a kapcsolattartás lelke a Microsoft ActiveSync névre 
hallgató szoftver. (Jelenlegi verzió: 3.5 build 12007) Nekem is 
volt ilyenem, adták a PDA-val. DE!!! ezt lehetőleg NE telepít- 
sük fel, hanem a [1] helyről töltsük le a legfrissebb verziót! 
Ugyanis eléggé elítélendő módon a gyártó (MS) a fő verziószá- 
mon nem változtat (marad a 3.5) viszont a hibák javítását új 
buildben készíti el. Ez a letöltő oldalról NEM derül ki csak le- 
töltés, installálás, majd Névjegy nézegetés után! (Sok gondot 
okozott a szinkronizáció USB-n keresztül a 7060-as build-el, 
mára [12007] ez a gond a múlté.) 


A szoftver sikeres telepítése után partneri kapcsolatot ápolha- 
tunk eszközünk és számítógépünk között. 

Ez azt jelenti, hogy a PDA 1 vagy két PC-t tud partneréül elfo- 
gadni, ezekkel az adatait szinkronizálni. (pl.: munkahelyi, ott- 
honi, vagy asztali és notebook gépek tűnnek megfelelő kombi- 
nációnak. Arra ugyanis semmilyen ötletet, megoldási javaslatot 
sem tesznek, ha mondjuk mindhárom géppel akarnánk szink- 
ronizálni.) Az ActiveSync segítségével a szinkronizált adatok 
automatikusan mozognak a 3 eszköz között kapcsolódáskor. 
Az ActiveSync opciói között állíthatjuk be, hogy milyen adato- 
kat, hogyan kívánunk szinkronizálni, illetve konfliktus esetén 
(pl.: ha a PDA-n és eközben a számítógépen is módosult az 
adat) ki legyen a referencia-adatforrás. 

Lehet még vendég módban is csatlakoztatni az eszközt, ilyen- 
kor szinkronizáció nem történik, viszont a fájlrendszerhez hoz- 
záférhetünk, illetve alkalmazásokat telepíthetünk a vendég 
PDA-ra. 


Barátunk a reset 


A PDA alján van egy icipici reset gombocska, amit a tollal le- 
het megnyomni. Ennek a használatát igen hamar el fogjuk sa- 
játítani, mintegy részeként a napi használatnak. Az eszköz mű- 
ködése során ugyanis üzemszerűen kell majd használnunk. A 
legtöbb rendellenes működés — egy időre — megszüntethető 
használatával. Márpedig tapasztalataim szerint rengeteg apró 
bosszúság érhet minket: nem tárcsáz ki, nem működik a blue- 
tooth, nem nyílik meg, nem záródik be az alkalmazás, illetve 
valami nem megy. Ilyenkor elég egy ügyes nyomás és máris 
megy minden tovább. 


A testreszabhatóság 


A PPC felület testreszabhatósága sok kívánnivalót hagy maga 
után. Ezt főleg azok érezhetik, akik WinCE 2.0-t használták 
előtte. Azaz a pl.: levelek, és a névjegyek megjelenítésekor na- 
gyon kevés dolog változtatható meg. Az például nem megy, ha 
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akarom látni a képernyőn. (Állítólag a sebesség oltá- 
rán áldozták fel a testreszabhatóságot.) 


Mentsük ami menthető 


Az eszköz adatainak mentésére a beállítások között levő bac- 
kup utility nyújt lehetőséget. (Ha van hová elmenteni. Ugyan- 
is a memóriába is lehet menteni, de célszerű-e?) 

Mivel az egész eszköz szokott elszállni, célszerű még az Acti- 
veSync segítségével időnként a PC-re menteni eszközünk tar- 
talmát. (Tools Backup/restore). Aki pedig tortára vágyik, hab- 
bal, az próbálja ki a [2] backup megoldását. Célszerű egy me- 
móriakártyát használni, arról PC nélkül, rövid idő alatt vissza- 
állítható az utolsó elmentett állapot. 


A mobil iroda 


Az Outlook 5 részre szakítva található meg a púpban: 
Levelezés, névjegyek, feladatok, feljegyzések, határidőnapló. 
Használata viszonylag könnyedén megy, feltéve ha megbarát- 
kozunk a csökkentett funkcionalitással. Az irodai csomag má- 
sik két tagja Pocket Word és Pocket Excel néven szerepel. Va- 
lamiért a PowerPointot nem szeretik, ezért ezt a programot, 
formátumot csak 3. gyártó támogatja. Sajnos csak konverzió 
segítségével. (Aki esetleg tud olyan PowerPoint megjelenítőről 
mellyel konverzió nélkül lehet az eredeti .ppt állományokat 
megtekinteni, kérem, feltétlenül jelezze levélben!) 


A levelezés 


Aki Office csomagot használ, annak könnyű dolga van, csak 
beállítja a szinkronizációt, és a levelesládája máris szinkron- 
ban él az Outlookjával. Vigyázat, ez azt is jelenti, hogy amit ki- 
törölt a PDA-n az kitörlődik az Outlookban is! 

Célszerű a letöltendő levélsorok számát, illetve a legnagyobb 
letöltött csatolmány méretét jól megválasztani, hogy ne teljen 
meg a PDA memóriája a rázúduló levelektől. 

Ha mondjuk POP3 vagy IMAP levelezőszerverre kapcsolód- 
nánk, ennek beállítása sem tart tovább pár percnél. 

Több különféle postafiók illetve többféle levelezési szolgáltatás 
beállítása már komoly fejtörést okozhat. 

A legjobb megoldás a Microsoft Mobile Information Server 
2002 (MIS), integráció megvalósítása. Ekkor az Exchange szer- 
veren található postaládánkhoz tudunk szinkronizálni szinte 
bármilyen internetkapcsolaton keresztül, az ActiveSync kliens 
egy kiegészítésével. Azaz nincs szükségünk egy PC-re, hanem 
a MIS szerverhez kapcsolódva (pl.: egy GPRS mobilkapcsola- 
ton keresztül) egyszerűen, gyorsan, automatizálva, költségha- 
tékonyan tudunk kommunikálni a külvilággal. 


Az iroda 


A Word és Excel anyagok többnyire jól jelennek meg a PDA-n. 
Egyszerű anyagokat írhatunk, szerkeszthetünk is rajta. A bo- 
nyolult, összetett funkciók azonban már meghaladják a zsebi- 
rodai alkalmazások képességeit. Legyünk tisztában azzal, hogy 
a másolás során fájlkonverzió történik, azaz ha bonyolultabb 
állományokat visszaírunk a PC-re, az: már nem ugyanaz lesz! 
Az esetleges extra funkcionalitás elveszhet! 


A beépített Internet explorer érdekessége, hogy WAP parser is 
található benne, azaz WAP böngészni is lehet vele, Így a tele- 
fonok kicsi képernyője és billentyűzete helyett a PDA-n ké- 
nyelmesen, színesben böngészhetünk. 

Természetesen a nagy, színes-szagos, animált oldalak betölté- 
sekor ne várjunk csodát, hiszen ez is egy csökkentett képessé- 
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gű böngésző, de általában elolvashatóak az oldalak, 
és a táblázatok tartalmát is ki lehet bogarászni. Segít- 
het még ha a felbontást, illetve a szövegirányt meg- 
változtatjuk [4]. 


Ezen ismeretek birtokában, némi gyakorlás után már be tudjuk 
álltani menedzsereink eszközét, illetve el tudjuk kezelgetni azt. 


A Kapcsolat 


A külvilágot sokféleképp érhetjük el a PDA-ról. 

H Hálózati kártyával (hagyományos PCMCIA, vagy wire- 
less) 
Vezetékes modemmel (analóg vagy ISDN) 
Infrán keresztül mobiltelefonnal (vagy inframodemmel) 
Bluetoothon keresztül (mobiltelefon, PC, vagy hálózati 
csomóponton keresztül) 


BBB 


Fontos megjegyezni, hogy GPRS kapcsolaton keresztül VPN 
kapcsolat nem építhető fel a GPRS szabvány tulajdonságai 
miatt. 


A kütyük tengere 


Arra, hogy milyen kiegészítőt vásároljunk hozzá, leginkább 
úgy lehet válaszolni, ha tudatában vagyunk annak, hogy pon- 
tosan mire is akarjuk használni. 

A sok jegyzeteléshez jól jön az összecsukható billentyűzet. 
Csupán arra kell ügyelni, hogy olyan magyarítóprogramot 
használjunk, ami ezt is kezeli. 

Az SD-kártya memóriaproblémáinkon segít, illetve remek cél- 
területe lehet a mentésnek. 

A CF, illetve a PCMCIA-kabát használatával sokszorosára nö- 
velhetjük a kapcsolódó kütyük választékát. Itt figyeljünk oda 
arra, hogy olyan eszközt csatlakoztassunk/vegyünk meg, mely- 
hez létezik meghajtóprogram is a PDA-hoz. Illetve figyeljünk a 
kártya áramfelvételére is. (Egy microdrive jó választásnak tűnik 
mindaddig, amíg a töltőtől nem távolodunk el messzire.) 
GPRS/GSM kabát is kapható hozzá. A nálam levő tesztdarabot 
fél óra után adtam vissza (mindig elmozdult a hátlapja, ezáltal 
kikapcsolt, szétesett a kapcsolat, néha bekapcsolva nem ismer- 
te fel a kabátot, a szoftvere is béta jellegű problémákkal küsz- 
ködött). Kapható hozzá vonalkódolvasó feltét is. Ipari felhasz- 
nálásra kitűnő ötlet. 

Legjobban a fülhallgató kiegészítő tetszik, melynek segítségé- 
vel elég jó MP3 lejátszó lehet belőle. (Igen, tényleg sztereóban 
szól.) 


Egyebek, játékok, miegymás 

Természetesen rengetegen írnak különféle (minőségű, célú, ár- 
fekvésű) alkalmazásokat PDA-ra. Ezek általában operációs 
rendszer és/vagy processzor fajtája szerinti telepítőócsomagok- 
ban jutnak el hozzánk. A tisztességes alkalmazás, akárcsak 
máshol: 


A Telepítőcsomagban érkezik. 

A Felismeri, ha nem a megfelelő eszközre akarjuk telepí- 
teni. 

A Intelligensen kezeli a különféle egyéb állományokat. 

(Lehetőleg nem írja felül a system könyvtár tartalmát 

mindenféle régi komponensenkkel.) 

Uninstallálni is lehet. 

Ha regisztrálni kell, nem keseríti meg az életünket min- 

denféle trükkel. 
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Van hozzá SOLszerver is! Ez főleg alkalmazásokhoz használ- 
ható jól. 

A CD-n lakó alkalmazások közül a LisPro-ról és az ewallet-ről 
emlékezek meg. Mindkettő PC-s klienssel is rendelkezik, azaz 
kényelmesen összeállíthatjuk gépünkön azt az anyagot, me- 
lyet majd a PDA-n használunk. Az előbbi segítségével külön- 
féle listákat, felsorolásokat kezelhetünk. Jó ötlet a különféle el- 
lenőrzőlistákat elkészíteni, majd a PDA-n használni. (pl.: mit 
vásároljunk a boltban, milyen CD-ink vannak, mit kell ma- 
gunkkal vinnünk a kéthetes kiküldetésre, milyen sorrendben 
kell feltelepíteni a vállalati alkalmazásokat, milyen listáim 
vannak...) Az ewallet a divatba jövő elektronikus tárca. Ok- 
mányaink, hitelkártyáink adatait tárolhatjuk itt, internetes jel- 
szavainkat, fontosabb eszközeink gyári számait, stb. Érdekes, 
hogy az iratok beszkennelhetőek, így az ikonjuk a tényleges 
iratot mutathatja. Ugyan jelszóval védhető mind az alkalma- 
zás, mind a PDA, azért gondoljuk meg, hogy milyen adatokat 
tárolunk rajta! 

Hangvezérlő alkalmazást is adnak hozzá. Az IBM programját 
nem installálják fel, a mellékelt CD-n lakik. Segítségével az 
erős idegzetűek, illetve birkatürelműek hangutasításokkal ve- 
zérelhetik PDA-juk főbb funkcióit. 

Lehet például GPS vevőt illeszteni a PDA-hoz, ehhez már csak 
egy térképszoftver kell (létezik részletes Magyarország térkép is 
hozzá!!), majd bedokkolva az autóban fedélzeti számítógép- 
ként is használhatjuk (Főleg akkor használható jól, ha nem mi 
vezetünk közben, ugyanis eléggé ön és közveszélyessé válha- 
tunk egy PDA-t nyomogatva a kicsi pálcikával, miközben az 
úton cikázva haladunk.) 


Természetesen mindenféle játékot is lehet találni hozzá. Ne- 
kem egyik kedvencem egy C64 emulátor, melyhez sok min- 
dent lehet használni, sőt a képernyő felbontása is közelít az ős- 
höz. 


A hálózat csapdájában 

Hálózati kártyával felszerelve állományokat érhetünk el, háló- 
zati alkalmazásokat futtathatunk, stb. 

A korlátozott funkcionalitás itt is él, de jól megválasztott gyár- 
tó termékei itt is segíthetnek. 

Vigyázzunk, mert a PDA-kat a W2K házirendje érdekesen ke- 
zeli. Túl szigorú házirendek esetén a nem tartománytag PDA- 
val nem tudunk majd hálózati erőforrásokhoz hozzáférni. (Az 
SMS szerver utódja már tartalmazni fogja a támogatását.) 


A Redszergazda és a Dromedár 


Tulajdonképpen ennek a résznek a kedvéért kezdtem bele eb- 
be a cikkbe. 

Hogyan lehet segítségére egy rendszergazdának a PDA? 
Lássunk néhány tippet: 


A A rendszerdokumentáció legfrissebb példánya elektro- 
nikusan áll rendelkezésre. Nosza, szinkronizáljuk eze- 
ket az állományokat (tegyük bele a szinkronizáladó 
mappák közé a rendszerdokumentáció egyik mappáját 
is.), így mindig kéznél lesznek. Segít az olvasásban a 
[7] gyártó acrobat readerje, vagy a MS Reader, melyek- 
kel optimálisan olvashatunk a kis képernyőn. (Célszerű 
egy kicsit vagy átalakítani, vagy testreszabni ezeket az 
anyagokat, hogy a PDA-n is megfelelően könnyen ke- 
zelhetőek legyenek. Inkább több kisebb állomány le- 
gyen, mint egy mindendoksi.doc.) 


TA Hálózati hibakeresés: nem kell magunkkal hurcolnunk A A hangfelismerés, illetve a hangkommuniká- 
notebookunkat, elég a [2] hálózati csomagja, egy Há- ció a terület egyik nagy kihívása, azonban itt 
lókártya és a legtávolabbi hálózat is közel kerül, szinte még jelentős fejlesztésekre kell várni. 
minden funkció elérhető a PDA-ról. (A fingertől a DNS A A hálózati funkciók, illetve a különféle kap- 
tesztekig, portscan, nslookup, szóval szinte minden, csolattípusok közötti váltás, valamint ennek a 
ami egy jó kis hálózati teszthez kellhet). (Hiányolok kiszolgáló-oldali támogatása, a roaming fejlesztés alatt 
még egy jó kis hálózatanalizátor szoftvert, mert ezzel áll. Szeretnénk eszközünket folyamatosan (költséghaté- 
teljes lenne az eszköztár.) konyan) ONLINE tartani. 

A Távoli bejelentkezés: RAS szerverre, sőt akár terminál AA Rendkívül sikeres és hatékony különféle célalkalmazá- 


szervízre is be lehet jelentkezni (figyelembe véve a 


sokkal kiegészítve (pl.: űrlapkitöltő, vállalatirányítási 





modul, intranetes alkalmazások). Ezen alkalmazások 
segítségével kis- és nagyvállalatoknál egyaránt sikerrel 
ki is válthatják a mobil munkatársak laptopjait. 


kapcsolat részben leírtakat!) 

o Célszerű előre elkészített kis programocskákat tá- 
rolni a célszerveren, ezek könnyen futtathatók a 
kapcsolaton keresztül 

o Ha lehet, készítsünk egy külön felhasználót, külön 
profillal, melyből minden felesleges sallangot eltá- 
volítottunk, minden vizuális effektet kikapcsoltunk, 
így is gyorsítva a használatot. 

ma A [1]-ről letölthető egy távirányító-szoftver is. Ennek se- 
gítségével a PC-ről távvezérelhetjük a PDA-t, így még 
könnyebben végezhetjük el az eszköz beállítását. 


A PDA-k használatához sok sikert kívánok! 


Megyesi Barnabás 
Barnabas.Megyesimeh.hu 
MCSE 


A vég - vagy a kezdet? 

Most hogy már közel a vég(e), néhány gondolatomat osztom 
még meg: 

A talán nem oly távoli jövőben lassan, de biztosan a használ- 
hatóság felé fejlődik az eszköz. 


MET LAT 


HA Egyik elkerülhetetlen lépése a mobiltelefonnal való in- 
tegráció, vagy a jelenleginél sokkal megbízhatóbb szo- 
ros együttműködés. 

H A képernyő és az eszköz mérete már megfelelő, a kie- 
gészítők méretének csökkenése még várható. 

H Az energiagazdálkodás, a készenléti idő még jelentős 
fejlesztésre szorul. 


192A-[1]Jú(Paumorijgd 2 ajasa epzpőiazspuai gi 90 p u I mM 





http://vilagokorseg.hu 


NEKTEK IS MONDTA A 
FŐNÖK, HOGY EGY TEL- 
JES WEBLAPOT TALÁLT 
KINYOMTATVA A VÉCÉN? 


ÖRÜLÖK, HOGY 
BEKÖTÖTTÉTEK 
A PAPÍRALAPÚ 

INTERNETET IS. 


EZ AZ! ITT A LEHETŐSÉG, 
HOGY BERAKJUNK EGY 
MUNKAÁLLOMÁST 

A KLOTYIRA IS! 
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MesterNurzusok / 


JE 


AT] HNETALADEIR MESTERÜRUSUR 


2003. Tavaszi program" 


MesterOrzus rendezvényünkön bepillantást nyerhetnek a NetAcademia oktatási tevékenységébe. Jöjjön el, legyen jelen leg- 
újabb cikkeink, workshopjaink, előadásaink születésénél! 
A tavaszi előadások vendégelőadói értékes ajándékokkal is meglepik a kedves résztvevőket! 


A MesterOrzus-kiskonferenciák ára: 15.000 Ft--ÁFA alkalmanként. A tech.net magazin előfizetőinek kedvezményes részvételt 
biztosítunk! 


Keresse a tech.net magazinban a kedvezményes részvételre jogosító jegyet! 





2003. január 30. 13:45 - 18:00 





13:35 — 14:00 Regisztráció 


14:00—15:00  — Az Active Directory tartalmának tömeges módosítása 
Néhány elterjedt szabvány ismeretének birtokában igazán varázslatos módosításokat végezhetünk 
az Active Directoryban. Ennyit kell tudni: LDAP, LDIF és X.500. Ezen az előadáson szóba kerül minden, 
ami használható export/import scriptek írásához feltétlenül szükséges. 
(Fóti Marcell) 
(Kapcsolódó tanfolyamaink: AD mélyvíz Workshop) 


15:00 — 16:00 Adatbázisalapú webalakalmazások hackelése (SOL Injection) 
Napjainkban egyre több webhely használ SOL Servert az összegyűjtött adatok tárolására, rendelések 


zőket megfelelően" töltjük ki. Ismerkedjünk meg az SOL Injection hackertechnikával, amíg nem késő! 
(Fóti Marcell) 
(Kapcsolódó tanfolyamaink: SOL Workshop, 2072 - SOL Server üzemeltetése, 2073 — SOL Server programozása) 


16:00 - 16:20 Kávészünet 


16:20-17:20 —— A csoportos házirend (Group Policy) rejtelmei 
Csoportos házirendek vegyes környezetben. Miért más a csoportos házirend terminal services kiszolgálón? 
Hogyan lehet saját gyártású házirendet készíteni? 
(Dorner Csilla) 
(Kapcsolódó tanfolyamaink: A Windows .NET Server tanfolyamsorozat) 


17:20-18:00 Gyakorlat: Címtármódosítás LDIF-fájllal 


2003. március 27. 13:45 — 





:00 





13:35 - 14:00 —— Regisztráció 


14:00—-15:00 Bevezetés a hálózati forgalom elemzésébe 
Minél összetettebb egy vállalati hálózat, minél többféle szolgáltatást futtatunk, annál furcsább hibajelen- 
ségeknek lehetünk időnként tanúi. A hálózati forgalom elemzésével olyan hibák felderítésére is lehetőség 
nyílik, amelyekről semmit sem mond az Eseménynapló! 
í (Fóti Marcell) 
(Kapcsolódó tanfolyamaink: NetMon Workshop, TCP/IP Workshop) 


"A NetAcademia Kft. a műsorváltoztatás jogát fenntartja. 


15:00 - 16:00 


16:00 -— 16:20 


16:20 - 17:20 


17:20 - 18:00 


A nyílt kulcsú technológia építőkockái 
A digitális aláírási törvény megjelenésével egyre több vállalat fordul érdeklődéssel a nyílt kulcsú 
technológiák felé. Mi kell ahhoz, hogy elérhetővé váljon számunkra a PKI adta sok-sok lehetőség? 
(Vendégelőadó: NetLock Kft.) 
(Kapcsolódó tanfolyamaink: PKI Workshop) 


Kávészünet 


Nyílt kulcsú architektúra a Windowsban 
A PKI felhasználási területei a titkosított hálózati kommunikációtól a digitális aláíráson keresztül a 
felhasználó-azonosításig terjednek. Kiszolgálóoldalon többek között a RAS, VPN, IPSec, és IIS, 
felhasználói oldalon a Smart Card Logon, dokumentumok aláírása, S/MIME a témaválaszték. 
A műsorváltoztatás jogát az újonnan megjelenő szolgáltatások miatt fenntartjuk! 
(Fülöp Miklós) 
(Kapcsolódó tanfolyamaink: 2150 - Windowsos hálózatok biztonsága, 2159, ISA Server) 


Gyakorlat: Felhasználói és kiszolgálóoldali PKI-gyakorlatok 


Hiteles NetLock tanúsítványpár elektronikus aláíráshoz és titkosításhoz. A 
kulcstároló eszközök a helyszínen megvásárolhatók. 


2003. május 29. 13:45 -— 18:00 


13:35 — 14:00 


14:00 — 15:00 


15:00 -— 16:00 


16:00 — 16:20 


16:20 - 17:20 


17:20 - 18:00 





Regisztráció 


Az elektronikus levelezés védelmének lehetőségei Exchange Serveren 
Az elektronikus levelezés áldás és átok egyben. A veszélyes leveleket nem szabad a felhasználókig 
eljuttatni. Ennek eszköze lehet az Outlook-ügyfelekhez készített központi korlátozóeszköz, vagy 


egy víruskereső. 
(Fóti Marcell) 


(Kapcsolódó tanfolyamaink: 1572 - Exchange Server üzemeltetése) 


SOAP (Előadó: Soczó Zsolt) 
A webszolgáltatások alapjait a SOAP-szabvány rakta le. Az előadásban áttekintjük a SOAP történel- 
mi gyökerét, és az XML-technológiákon keresztül megnézzük gyakorlati felhasználását is. 

(Soczó Zsolt) 


(Kapcsolódó tanfolyamaink: .NET fejlesztési tanfolyamok) 
Kávészünet 


A Windows rendszerek támadható, és védelmi felületei 
A vírusvédelem egyik faktora nyilván a jó, friss víruskereső program. A másik faktor az okos 
felhasználó, illetve az okos rendszergazda. Ebben az előadásban megismerkedünk a vírusok által 
használt támadási trükkökkel, így soha többé nem fogunk Administratorként levelezni... 
(Vendégelőadó: VirusBuster Kft.) 
(Kapcsolódó tanfolyamaink: 2150 - Windowsos hálózatok biztonsága, 2159, ISA Server) 


Gyakorlat: Felhasználói és kiszolgálóoldali PKI-gyakorlatok 


Vírus Buster Personal Edition, 1 éves előfizetéssel 


A MesterOrzusok helyszíne: NetAcademia Kft., Budapest, Andrássy út 62. 
Jelentkezés: http://www.netacademia.net/mesterg 
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3. TESZ 


Az UML témát folytatva tovább boncolgatom a biliárd játékot, újabb lépésekkel közelebb kerülve a 
kész programhoz. Az elmúlt hónapban eljutottunk a követelményspecifikáción, a fizikai részleteken és 
a használati eseteken keresztül az osztályok leírásáig. Innen szeretném most folytatni. 


A szkeleton 


Egy rendszer szkeleton változatának célja annak bizonyítása, 
hogy az objektum és dinamikus modellek a definiált feladat 
egy modelljét alkotják. A szkeleton egy program, amelyben 
már valamennyi, a végső rendszerben is szereplő üzleti objek- 
tum szerepel. Az objektumoknak csak az interfésze definiált. 
Valamennyi metódus az indulás pillanatában az ernyőre szö- 
veges változatban kiírja a saját nevét, majd meghívja azon me- 
tódusokat, amelyeket a szolgáltatás végrehajtása érdekében 
meg kell hívnia. Amennyiben a metódusból valamely feltétel 
fennállása esetén hívunk meg más metódusokat, akkor a felté- 
telre vonatkozó kérdést interaktívan az ernyőn fel kell tenni és 
a kapott válasz alapján kell a továbbiakban eljárni. A szkele- 
tonnak alkalmasnak kell lenni arra, hogy a különböző forgató- 
könyvek és szekvenciadiagramok ellenőrizhetők legyenek. A 
jó szkeleton osztott képernyővel dolgozik. Az ernyő egyik ré- 
sze szolgál a szöveges üzenetek és párbeszédek lefolytatására, 
a másik félben egy szekvenciadiagramot célszerű kirajzolni. 
Csak karakteres ernyőkezelés fogadható el, mert ez biztosítja a 
rendszer egyszerűségét. 

A biliárd szkeletonja ugyanúgy három használati esetre bont- 
ható, mint a majdani kész program, különbség csak az egyes 
use-case-ek megnyilvánulásaiban van. Mivel a kezelőfelület a 
program készítésének ebben a fázisában még nem kerül meg- 
valósításra, a felhasználó irányába történő kommunikáció egy- 
szerű dialógusokra redukálódik. A mögöttes algoritmusok hiá- 
nya miatt pedig az egyes programrészek közötti használati ese- 
tek (a szabályobjektum és az asztal közötti) üzenetváltásokra is 
a felhasználó fog utasítást adni. 

Az alábbi ábrán látható a két részre osztott szöveges képernyő: 
a baloldalon folyik a kommunikáció a felhasználóval, itt teszi 
fel a rendszer azokat a kérdéseket, amelyekre a későbbiekben 
algoritmikus választ kapunk, ám a fejlesztés jelenlegi szakaszá- 
ban ezek még nem elérhetők. (Ilyen pl. annak meghatározása, 
hogy a felhasználói interfész engedélyezett-e vagy sem, lesz-e 
újabb lökés stb.) 


- 3. részt Developer 


Az UML 


Jobboldalt a kommunikációs diagram látható. Ez egy fa struk- 
túra, amely az egyes metódusokat illetve a metódusok közötti 
üzenetváltásokat mutatja, meghívásuk sorrendjében és mélysé- 
gében. A szkeleton futása közben ez a lista folyamatosan fris- 
sül. Így az ábrán látható diagram például azt mutatja, hogy a 
rendszer betöltődésekor először az az Asztal.Asztal me- 
tódus került betöltésre, majd ez sorra meghívta az az Asz- 
talRajz.AsztalRajz, a Feher.Feherg, stb. függvé- 
nyeket. Amikor ezek is sikeresen lefutottak, az a Szabaly 
objektum Szabaly metódusát hívjuk meg, stb. 

Természetesen ezeket a függvényhívásokat befolyásolják a bal 
oldali ablakrészben megadott felhasználói utasítások is. (Az 
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ábrán látható kék ágak csupán a megértést segítik, a karakteres 
képernyőn megvalósított szkeleton természetesen nem tartal- 
mazza ezeket a grafikus elemeket.) 

A fastruktúra nemcsak a képernyőn jeleníthető meg, hanem 
naplófájl is készíthető belőle, amely egyrészt a későbbi vizsgá- 
latokat könnyíti meg, másrészt a rendszer futására való rálátá- 
sunk nem korlátozódik néhány sorra. 









jelenleg... 











a Letiltott 


a Henu. Indulas 
a MenuRajz .Rajzol 
a. a. indulas 

1 a DakoRajz.Rajzol 
a-Henu.Adat 

1— a Menu. Mentes 





Biliárd 





Id A Biliárd szkeletonja működés közben 


A szkeletonban megvalósított használati esetek tehát a követ- 
kezők lesznek: 


A Játékinterfész (megvalósító objektum: lökéskezelő): 
Inicializáláskor az interfészobjektumon keresztül a sza- 
bályobjektum indítja el, valamint minden alkalommal, 
amikor az összes golyó megállt, és még nincs vége a já- 
téknak. Futása a lökés megtörténtével ér véget. A szke- 
leton a lökés paramétereire (irány, erősség) nem, csak a 
lökés megtörténtére kérdez rá. 

A Játékopciók (megvalósító objektum: menükezelő): 
Szintén az interfészobjektum indítja. Ugyanúgy inicia- 
lizáláskor, vagy az összes golyó megállása után aktivi- 
zálódik, azzal a különbséggel, hogy a játék végetérte 
után is működésbe lép. A lökés megtörténtekor, vagy a 
játékból való kilépéskor ér véget. Működése során rá- 
kérdez, milyen esemény történt: játék-újrakezdés, 
mentés, betöltés, kilépés. 





HA Játékfelügyeleti utasítások (megvalósító objektum: 
szabály): 
A lökés megtörténtekor a lökéskezelő indítja. A Sza- 
bályobjektum és az Asztal közötti üzenetváltásokat 
csoportosítjuk ide. Ezek a következők lehetnek: 
— az asztal által a szabálynak küldött üzenetek a golyók 
mozgása közben történt eseményekről; 
— a golyók megállta utáni utasítások az asztal felé: fe- 
hér golyó visszahelyezése az asztalra, összes golyó 
visszahelyezése (inicializáláskor, és játék újrakez- 
déskor). 
Mivel a szabályobjektum algoritmust még nem tartal- 
maz, a felhasználónak továbbítja az eldöntendő kérdé- 
seket: véget ért-e a játék, elment-e a fehér golyó. Emel- 
lett az asztal is rákérdez az egyes eseményekre: történt- 
e ütközés, első ütközés-e, elment-e a golyó, megállt-e 
minden golyó stb. 


— Játékopciók 
IGEÉTETK 


1 288 nme) 
1 
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1 
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Játékos Programkezelő  ! 


kd A Biliárd szkeletonjának használati eset diagramja 


A szkeleton működése során felmerülnek olyan döntési helyze- 
tek, amelyeket algoritmus hiányában a szkeleton még nem tud 
megoldani, így nem tudja, melyik legyen a következő aktivizá- 
landó objektum. A biliárddal kapcsolatban négy ilyen esetet 
különböztetünk meg: 


A Interface: 

A program futása közben nem lehet tudni, hogy egy lö- 
kés befejeződése után a kapott inputot melyik objektum 
dolgozza fel. (Menüutasítások/Lökéskezelő) 
Szabály: 

Ez az eset akkor áll fenn, ha a futás során minden go- 
lyó megállt. A felmerülő lehetőségek: az egyes vagy a 
kettes játékos jön, nyer valaki, elment a fehér golyó. 
Asztal 

Az asztal szempontjából több jelentős esemény lehet- 
séges, amelyek közül ebben a stádiumban még nem 
tud választani a program: mely golyók mozognak 
(ezeknek utasítást küld egységnyi mozgásra), megállt-e 
mindenki, elment-e az első golyó, ütközés történt-e két 
golyó vagy golyó és fal között (üzenet a megfelelő 
golyó(k)nak), első ütközés történt-e. 





A Menü ] ] 
Ha a menü aktivizálódott, a következők kö- S 

ése a 
zül választhatunk: ment, betölt, kilép, újra- ——n—] 


indít. 
A szkeleton megírásakor kell ügyelnünk arra is, hogy a megfe- 
lelő kollaborációs (együttműködési) diagramokat helyesen ír- 


juk fel, hiszen ezek alapvetően meghatározzák a program to- 
vábbi működését és felépítését. 


l Szabály ] 


6: a / Kg 





— ! 

l Inputinterfész ] ítékáttásakíelző ! 
kesessel —— 
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4: Start() 1: Start) ] 
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l Menüutasítások l Asztal ] ! 
- 1 

5: Rajzol(), 2: Rajzol(), - 

I Menürajzoló ] I Asztalrajzoló ! 
———— AS ! 

Í 

í 

! 

1 


id Az inicializálás kollaborációs diagramja 


A fenti ábrán az inicializáció együttműködési diagramja látha- 
tó. Az egyes objektumok közötti nyilak a meghívások irányát 
jelzik, a metódusok előtti sorszámok pedig azt, hogy ezek sor- 
rendben hogyan következnek egymás után. 

Hasonló módon felrajzolható a lökés és a menüutasítások vég- 
rehajtásának diagramja is. 


A rendszer architektúrájának felrajzolása is itt történik. A bili- 
árdprogram három fő egységre osztható. A kommunikációs 
modul feladata a felhasználó és a másik két egység közti kap- 
csolattartás. További két egységre bontható: az adatbeviteli és 
a megjelenítő egységre. A megjelenítő rész feladata a játék töb- 
bi egysége által neki küldött információkat a képernyőn meg- 
jeleníteni. Tehát az ő felelőssége minden, a felhasználó irányá- 
ba történő kommunikáció. Az adatbeviteli rész felelőssége pe- 
dig, hogy a játékostól jövő inputot fogadja, majd kis mértékben 
feldolgozva továbbadja a Fizikai modellnek és a Szabálynak. 
Ezenkívül az üzenetekkel tájékoztatja a megjelenítő részt az 
ehhez kapcsolódó kijelzési feladatokról. 

A Fizikai modul feladata, hogy az asztalon mozgó golyók vi- 
selkedését irányítsa: az asztal széleinek, a lyukak helyének, és 
a golyók mozgását megszabó törvényeknek a modellezése. 
Közben üzenetekkel tájékoztatja az Asztalrajzoló osztályt 
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(Kommunikációs modul) a megjelenítendő informá- 
ciókról. 

A Szabály felelőssége a játék menetének irányítása. 
Induláskor ő indítja el a többi rész inicializáló folya- 
matát. Ismeri továbbá a biliárd szabályait, így vezér- 
li a többi egység működését. Egyetlen, Szabály nevű osztályból 
áll. A játék során folyamatosan tájékoztatja a Játékállás- kijel- 
zőt a megjelenítendő információkról. 

A Szabály és az Adatbeviteli modul közötti adatáramlás kétirá- 
nyú. Egyrészt a Szabály engedélyezi az Input interfészt, amikor 
inputot vár, másrészt a Menü utasítások feladatuk elvégzését a 
Szabálynak üzenik meg. 

Az Asztal és az Adatbeviteli modul közötti kommunikáció 
azonban egyirányú. Ennek során a Lökéskezelő tájékoztatja az 
Asztalt a lökés végeredményéről. 


A szkeleton célja tehát a fejlesztendő program moduljainak he- 
lyességbizonyítása. Mindezzel egyidőben annak tervezésére is 
sor kerülhet (és praktikusan kerül is), hogy mely osztálydefini- 
ciókat milyen állományokban helyezünk majd el. Már a szke- 
letont is érdemes úgy felépíteni, hogy kövesse ezt a struktúrát, 
hogy ezáltal is átláthatóbbá tegyük a programot, és segítsük sa- 
ját, jövőbeli munkánkat. 


A prototípus 


A prototípus program célja annak demonstrálása, hogy a prog- 
ram elkészült, helyesen működik, valamennyi feladatát teljesí- 
ti. A prototípus változat egy elkészült program — kivéve a kifej- 
lett grafikus interfészt. A változattervezési szempontból elké- 
szült, az ütemezés, az aktív objektumok kezelése megoldott. 
Az objektumok - a megjelenítésre vonatkozó részeket kivéve — 
valamennyi metódusa a végleges algoritmusokat tartalmazza. 
A megjelenítés és működtetés egy alfanumerikus ernyőn követ- 
hető, ugyanakkor a megjelenítés fájlban is logolható, ezzel 
megteremtve a rendszer tesztelésének lehetőségét. Különös fi- 
gyelmet kell fordítani az interfész logikájára, felépítésére, vala- 
mint arra, hogy az mennyiben tükrözi és teszi láthatóvá a prog- 
ram működését, a beavatkozások hatásait. 


PROTOVBILTARD.EXE 
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d A Biliárd prototípusa működés közben 


A prototípus tehát továbbra is egy karaktergrafikus képernyővel 
rendelkező program. A fenti ábrán látható a biliárd prototípu- 
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sa, amely egy három részre osztott képernyővel működik: bal- 
oldalon a felhasználó által elérhető funkciók láthatók, középen 
az asztal rajza a golyókkal, jobbra pedig a működés során vál- 
tozó paraméterek: az egyes golyók koordinátái és sebességvek- 
tora, valamint néhány egyéb információ. 

A középső képernyőrészen látható zöld mező az asztalt mo- 
dellezi. Négyféle golyó található rajta: fekete (k), fehér (f, csí- 
kos (c), teli (t). A golyók mozgását a karakteker mozgása szem- 
lélteti, természetesen durva kerekítéseket alkalmazva. 

Az információs táblázatok a számítások során folyamatosan 
frissülnek. A golyók állapottáblájában lévő üres sorok azt jelen- 
tik, hogy az adott golyó már beleesett valamelyik lyukba, így 
nem vesz részt többé a játékban. Természetesen a fehér golyó 
lyukba esését követően újra az asztalra kerül a kezdő pozíció- 
ba, a fekete eltűnése pedig a játék végét jelenti. 

A szkeletonhoz hasonlóan a prototípus is készít naplófájlt a 
meghívott függvényekről, az aktuális paramétereikkel együtt. 
Ezen kívül készül egy másik naplófájl is, amelybe a golyók és 
a játék állapotának változásai kerülnek. 


A prototípus tartalmazza a végleges, valós program használati 
eseteit, ezen kívül különböző tesztelési use case-eket is. Ez 
utóbbiak olyan többletszolgáltatásokat kínálnak, amelyek a 
tesztelés során elengedhetetlenül szükségesek (golyók adatai- 
nak megadása, játék állapotába való belenyúlás). Valamennyi, 
a felhasználóval kommunikáló use-case két lehetséges módon 
kommunikálhat: interaktívan, a képernyőn keresztül, illetve a 
válaszokat egy, tesztadatokkal előre feltöltött config fájlból ol- 
vasva. 

A tesztelés a programfutás ellenőrzésének megkönnyítése. 
Többek között lehetőséget ad a golyók sebességének és hely- 
zetének megadására, lehetővé teszi tetszőleges golyó levételét, 
feltételét, valamint ésszerű keretek között lehetőséget biztosít a 
szabály állapotainak megváltoztatására: utasíthatja, hogy a kö- 
vetkező játékos kétszer jöjjön, megadhatja, hogy a fekete go- 
lyót mely lyukba kelljen belőni, illetve, hogy a játékos a teli 
vagy a csíkos golyókkal legyen-e. 

A tesztfájlok beolvasását és értelmezését természetesen nekünk 
kell megvalósítanunk, a végleges programban nem szereplő 
use case-ek segítségével. Az állományokban található adatok- 
nak megfelelően egyszerű szerkezetűnek kell lenniük a feldol- 
gozás egyszerűsége érdekében, ugyanakkor kellően kifejező- 
nek ahhoz, hogy a sokrétű feladatnak megfeleljenek. Ehhez 
használhatunk saját formátumot (lásd alább), de sokkal célsze- 
rűbb valamilyen szabványos formátum, például az XML hasz- 
nálata. 

Az ütközések tesztelésére szolgáló, saját formátumú konfigurá- 
ciós állomány felépítése például: 





Ugyanezen adatok beállítása XML-ben: 





A prototípus esetében három aktort különböztetünk meg, eb- 
ből kettő a végleges programban is szerepelni fog, egy pedig a 
prototípus sajátja. A Játékos és a Szabály szerepét korábban 
már definiáltam, az újonnan belépő szereplő a Tesztelő. 

A Tesztelő a prototípus, és ezen keresztül a leendő program 
tesztelését végző külső személy, vagy más program. Utasításo- 
kat küld a tesztobjektumnak, ezekkel utasítva azt a játék mene- 
tében olyan módosítások végrehajtására, amikre egyébként 
nem lenne mód (lásd fentebb). 









S 


Játékos 


a 


Tesztelő 


Id A Biliárd prototípusának használati eset diagramja 


Természetesen ezekhez a tesztelésekhez előzetes tervet is kell 
készítenünk (már megint tervezés...). Ez azt jelenti, hogy defi- 
niálnunk kell, pontosan milyen eseteket szeretnénk végigpró- 
bálni, milyen konfigurációs adatokkal stb. 

Például az ütközés tesztelése során két golyóra lesz szükség. 
Az egyik álló helyzetben van, a másik egy adott kezdősebes- 
séggel nekikoccan. Vagy a képernyőre kiírt, vagy az output fájl- 
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ban megkapott eredmények segítségével ellenőriz- 
hetjük le, hogy az ütközés után a golyók helyes para- 
méterekkel indultak-e tovább. 

A többszörös tesztelés célja annak felmérése, hogy a 
program valóban determinisztikusan működik-e. Mi- 
vel a specifikáció során kikötöttük, hogy az egyes ütközések- 
ben a véletlen nem játszik szerepet, ugyanazt a lökést többször 
végrehajtva mindig ugyanazt az eredményt kell kapni. Ha 
mégsem egyeznének az eredmények, az például inicializálat- 
lan változókra utalhat, amelyek így előre nem megállapítható 
értékeket vesznek fel a program futása során. Hogy ezek 
könnyebben felszínre kerüljenek, ez a tesztsorozat viszonylag 
hosszabb, bonyolultabb számolásokkal járó feladatokra utasít- 
ja a prototípust. 

A kifárasztásos tesztelés célja megállapítani, hogy a program 
képes-e hosszú időn keresztül folyamatosan működni. A külső, 
tesztelő program olyan, kellően hosszú bemeneti adatokat állít 
elő, amely a program számára kellően sok műveletet jelent. 
Ezek a műveletek lehetőség szerint teszteljék a játék vala- 
mennyi használati esetét, nagyjából a valóságos felhasználás- 
nak megfelelő eloszlásban. A programnak a teszt alatt nem sza- 
bad lefagynia, továbbá az általa felhasznált memóriának egy 
bizonyos korlát alatt kell maradnia (nem foglalhat le mindig 
újabb és újabb memóriát). 


A grafikus felület tervezése 


Az egyik utolsó lépés a végső program grafikus felületének ter- 
vezése és megvalósítása. Fontos, hogy az interfész felhasználó- 
barát, esztétikus és praktikus legyen. 
A biliárd grafikus osztályai: DakoRajz, MenuRajz, AllasRajz. 
Ezek felelőssége nyilvánvaló az elnevezésükből. Példaként az 
állásrajzoló felépítését mutatom be: 


E 
EJ A Biliárd állásrajzoló 
osztályának felépítése 








A játék állásáról tudósít: ki következik, kinek hány golyója van 
még, továbbá kétszer jön-e a következő játékos. Plusz lehető- 
ségként hozzáadható még például a játékosok eredményessé- 
gének nyilvántartása (a játék kezdetén a játékos egy felhaszná- 
lói névvel bejelentkezik, majd a nyert/veszített játékok alapján 
a pontozást elmentjük). 

Az eddigiekhez hasonlóan itt is le kell írni a különböző grafi- 
kus osztályok, objektumok viselkedését szekvencia-, használa- 
ti eset-, osztály- és egyéb, korábban említett diagramok segít- 
ségével. 


Ezzel elértünk a biliárd program tervezésének végéhez. Remé- 
lem, sikerült némi ízelítőt adnom a szisztematikus programter- 
vezés módszereiről és az UML használatáról. A következő hó- 
napokban a modellezés, tervezés témát folytatva itthagyjuk a 
biliárdot, most már mindenki játszadozhat vele kedvére. 


Molnár Ágnes 
agnes.molnarOt-systems.com 
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Én és a .ET 


Számítógépbarátként és amatőr programozóként szeretném megosztani Önökkel 
annak a történetét, hogy hogyan készült el első . NET-es programom. A történet ki- 
csit hosszabb és nem olyan sok benne a .NET, de talán a többi része is szolgál né- 
mi tanulsággal a modern digitális eszközökről. 
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Az ajándék 


A dolog úgy kezdődött, hogy nyertem egy digitális fényképező- 
gépet. Egészen pontosan tulajdonképpen egy NTSC videoka- 
merát nyertem, amit nem csekély időt és energiát rááldozva si- 
került elcserélnem egy digitális fényképezőgépre. 

Az új kamera nagyon bevált, készítettük is vele a képeket szor- 
gosan. Egy 64 megabájtos kártyára nagyjából 130 kép fér, ami 
több mint öt tekercs 24 kockás hagyományos filmnek felel 
meg. Azonban a digitális film valahogy jobban fogy, így ez a 
mennyiség egy napra sem elég, így hát muszáj volt egy 128 
megabájtos kártyát is beszerezni. (Ez persze a két évvel ezelőt- 
ti árakon kicsit másképpen nézett ki mint ma). A következő ér- 
vágás akkor ért, amikor egy hivatalos külföldi utazásom előtt 
komoly vitába keveredtünk a családommal, hogy vihetem-e 
magammal a céges laptopot, amin a fényképek is voltak. Mit 
volt mit tenni, venni kellett egy második laptopot. Ezután jött a 
laptophoz kapcsolható USB-s CD író, a fényképek archiválásá- 
hoz (most tartunk 25 teleírt CD-nél), majd egy év után betelt a 
laptop 10 gigabájtos merevlemeze, úgyhogy a következő adag 
pénz egy 30 gigabájtos laptop winchesterré alakult. 

Ha már ennyit költöttünk az ajándékra, gondoltam, némi szel- 
lemi tőkét is befektetek, így a Scripting ugróiskola sikeres el- 
végzése után készítettem egy kis programocskát, ami a CF me- 
móriakártya behelyezése után a rajta lévő fényképeket és fil- 
meket (ezeket a fényképezőgép külön könyvtárba rakja) felmá- 
solja a laptop merevlemezének megfelelő helyére, és dátum 
szerint különböző könyvtárakba rendezi. 


A másoló script 


A feladat egyszerű, a fényképek a memóriakártya megadott 
könyvtárában vannak, a filmek meg külön könyvtárakban, 
amiknek a nevében csak egy sorszám változik. Ezek a filmek 
tulajdonképpen egymás utáni .jpg képek, így egy filmkönyvtár- 
ba nagyjából 40 kép kerül. A merevlemezen a fényképeket egy 
olyan könyvtárstruktúrában tároljuk, ahol minden egyes nap- 
hoz tartozik egy könyvtár, aminek a neve az aznapi dátum, fil- 
mek esetén kiegészítve a Film szóval és egy sorszámmal, az 
aznapi filmek számától függően. 

Kedvenc programozási nyelvem a Visual Basic, ezért a script 
megírására is ezt használtam. 

Kezdetnek beállítom a forrás- és célkönyvtárakat (eleinte ez be 
volt drótozva a programba, de mivel több gépen is használom, 
ezért célszerű volt paraméterezhetővé tenni) és létrehozom a 
fájlok eléréséhez szükséges objektumot: 





Majd leellenőrzöm, hogy be van-e dugva a memóriakártya: 
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Lehet, hogy lenne olyan megoldás, amivel tényleg azt nézném, 
hogy van-e bent memóriakártya, azonban a gyakorlatban a ké- 
peket tartalmazó könyvtár meglétének ellenőrzése teljesen jól 
működik. 

Másolás előtt még megszámoljuk, hogy hány fénykép és film 
van a memóriakártyán, így látjuk, hogy milyen kreatívak vol- 
tunk aznap és esetleg itt még vissza is léphetünk. 





A fényképek számolásához elég megnézni, hogy hány fájl van 
könyvtárban, azonban a filmeknél már végig kell néznünk az 
összes alkönyvtárat, és kiválogatni azokat, amiknek a neve 
AN. "-sal kezdődik. 

Maga a másolás rész nagyon egyszerű, végigmegyünk a fény- 
képeken és meghívjuk a fényképmásoló rutint, majd végigme- 
gyünk a filmeken és meghívjuk a könyvtármásoló rutint. 





Végül, hogy ellenőrizzük a másolás sikerességét, kiírjuk a me- 
móriakártyán keletkezett szabad helyet: 





A KepMasol és FilmMasol subrutinok forráskódját itt nem rész- 
leteznénk, az érdeklődők megtalálják az [1]-es címen. A képek 
másolásánál ellenőrizni kell, hogy nem foglalt-e a célkönyvtár- 
ban a megadott név. Ha igen, egy sorszámot kell hozzáírni; ha 
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még nem létezik arra a napra könyvtár, akkor azt létre kell hoz- 
ni és végül a 


paranccsal, ahol f a mozgatandó fájl objektuma, a dest az új 
hely, át kell mozgatni. 

A filmmásolásnál meg kell keresni az aznapi első szabad film- 
sorszámot (hiszen előfordulhat, hogy az első kártyáról bemáso- 
lom a Film1-Film5-öt, ekkor a második kártya Film6-tól indul), 
majd létre kell hozni a könyvtárat és bemásolni a képeket. 
Talán kicsit bonyolultak ezek a scriptek az elvégzendő feladat- 
hoz képest, de nagyon fontos volt, hogy ne vesszenek el képek, 
és ne fordulhasson elő, hogy egyszerűen egy új képpel felülí- 
runk egy régit. 

A Script elkészülte után eljött a Kánaán és lehetett élvezni a za- 
vartalan fényképezést és fényképek nézegetését. 


Ekkor megtörtént a baj 


Ekkor azonban történt egy baleset, a fényképezőgép meghibá- 
sodott és be kellett adni szervizbe. És ugyan a fényképezőgép 
az egyik legmenőbb márka, ez nem akadályozza meg a szer- 
vizt abban, hogy iszonyatosan lassú legyen. Ez a gyakorlatban 
azt jelenti, hogy beadás után egy hónappal érdeklődve az de- 
rült ki, hogy még hozzá sem nyúltak, várjak türelemmel majd 
szólnak, ha valami van. Persze közben újra megyünk gyönyö- 
rű helyekre nyaralni, így hát ismerősöktől kölcsönkértünk egy 
cserekészüléket. Mivel a kölcsöngépet ritkán használják, az 
idő és dátum törlődött, így a fényképezés megkezdésekor fej- 
ből kellett beállítani a dátumot, ami az óránál jól sikerült, de a 
dátum félrecsúszott. Másnap korrigáltuk egy nappal odébb, de 
ez még mindig nem volt az igazi és csak harmadnapra sikerült 
belőnünk a tényleges dátumot. 

A helyzet tehát a következő: van egy adag fájlunk, aminek 
a dátuma két nappal több, mint kellene és van egy másik ra- 
kás, aminek egy nappal több (egy napi adag nagyjából 300 
fénykép). 


Képbe kerül a .NET 


Elsőre a fájlkezelőben próbálkoztam, de ott nem lehet a dátu- 
mot átírni. Azután a Windows Commanderral. Azzal lehet, de 
csak egyesével. Na nem baj, végül is nem azért jártam tanfo- 
lyamra, hogy egy ilyen problémára ne tudjam a megfelelő 
scriptet megírni, úgyhogy irány a VBScript help, FileSystem 
könyvtár, Fájl objektum Creation time property: de sajnos ez 
Read Only :-(. A biztonság kedvéért megnéztem a JScript refe- 
renciában is, de az eredmény ugyanaz. Na nem baj, rémlik, 
hogy VB-ből meg lehet hívni API rutinokat is, akkor nézzük a 
Platform SDK dokumentációját! Ugyan nem szívesen tanulom 
most meg, hogy hogyan kell ilyesmit csinálni, de a szent cél ér- 
dekében mindent. A gépemen nincsen fejlesztőrendszer, úgy- 
hogy irány az MSDN Library [2]. 

Valahogy a Platform SDK eltűnt, azonban azonnal belebotlok 
a .NET dokumentációba. Miután korábban már elolvastam két 
részt a NetAcademia .NET programozás sorozatából, gondol- 
tam ha .NET hát legyen .NET. Némi keresés után meg is ta- 
lálom a fájlobjektumot, és annak az idő átírására szolgáló 
SetCreationTime metódusát. Helyben vagyunk. 

Azonban továbbgondolva a feladatot, rájövök, hogy nekem tu- 
lajdonképpen egy könyvtár összes fájlján kell végigmennem, 
úgyhogy gyorsan megkeresem a Directory objektumot, annak 
is GetFiles metódusát. Hát pontosan ez kell nekem, és ráadá- 
sul példaként egy olyan program van megadva, ami a parancs- 
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sorban megadott fájlok vagy könyvtárak nevét rekur- 
zívan kiírja. Ez úgy megtetszett, hogy azonnal fölins- 
talláltam a nemrég újságmellékletként megkapott 
.NET Framework CD-t, annak a súgójában, most már 
lokálisan, megkerestem ezt a példát, lefordítottam és 
lefuttattam. És lássatok csudát, a program futott, szépen kiiro- 
gatta a fájlok neveit! 

A Ct nyelvet választottam, mert ugyan lehetett volna Visual 
Basicet is használni, de nagyon vonzott, hogy egy újabb diva- 
tos nyelven is írjak programot. 

A következő játék, hogy egy fájlnak van Creation, LastModifi- 
ed és LastAccessed dátuma, melyiket kell vajon átírnom? Az 
utolsó nyilván kiesik, de érdekes módon a LastModified a kép 
létrehozásának, míg a Creation a laptopra másolásnak a dátu- 
mát tartalmazza. Most már csak a dátum egy vagy két nappal 
csökkentését kell megoldani, de a Date objektum AddDays 
metódusának negatív számokkal történő meghívásával ez 
megoldható. Na már minden összejött, próbaképpen csak ki- 
írom a régi és az új dátumot, és miután ez jól lefutott, ráeresz- 
tem a programot először az egyik, majd a másik könyvtárra. 
Itt következik a program kicsit egyszerűsített listája, ami még 
ctt tudás nélkül is teljesen jól olvasható. 





Kész vagyok, a feladatot megoldottam. Kicsit csalódott vagyok, 
nehezebb küzdelemre számítottam, bonyolult ciklusokra a fáj- 
lok kikereséséhez, trükkös IF-ekre, hogy a ,,." és ,.." könyvtá- 
rakba ne menjen bele rekurzívan, hosszú leírásokat, hogy mi a 
ctt lényege stb. E helyett nagyon könnyen és gyorsan, ugyan a 
.NET lényegét adó webszolgáltatások kihasználása nélkül, fel- 
használva a működő példaprogramot, sikerült elérni, amit sze- 
rettem volna. 


-Csilling László 
Laco€pdamania.hu 


A cikkben szereplő URL-ek: 
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Code Access Security a .[ET 
keretrendszerben 


A Windows NT-2000-XP és a legtöbb operációs rendszer biztonsági rendszere felhasználóalapú, azaz 
egy kód eredő jogosultságát az őt futtató felhasználó jogosultságai határozzák meg. Ez remekül műkö- 
dött egészen addig, amíg nem volt Internet, nem voltak komponensalapú és elosztott alkalmazások. 
Azonban az adminisztrátorok és hiszékeny felhasználók nevében ténykedő vírusok felhívták arra a fi- 
gyelmet, hogy ez a biztonsági modell nem képes helytállni a mobil, innen-onnan letöltődő kódok vi- 
lágában. Itt volt az ideje, hogy megjelenjen valami más, ... a Code Access Security. 


Mi az a Code Access Security? 


A felhasználó és csoporttagság központú biztonsági rendszer — 
idegen néven principal alapú security — teljes csődöt mond, ami- 
kor mindenféle ActiveX vezérlőket és himi-humi, internetről le- 
töltött programokat kell megzabolázni. Mit tehet egy adminiszt- 
rátor által futtatott böngészőben futtatott ActiveX Control? Bár- 
mit, amit csak akar! Jó példa erre egy dokumentáló ActiveX ve- 
zérlő [1], amelyet egy böngészőablakban futtatva egy teljes Win- 
dows 2000-es tartomány összes kiszolgálóját ledokumentálja. 
Mit tett ez ellen a Microsoft például az Internet Explorerben? 
Kiraknak nekünk egy ablakot, amiben figyelmeztetnek, hogy 
az elindítandó kód bármit megtehet a gépen, ezért alaposan 
gondoljuk meg tényleg akarjuk-e futtatni. De a felhasználók 
úgyis reflexből tudják, hogy ezekre a kérdésekre a válasz az 
ablak bal oldalon található. Például: 
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Mit lát ebből a felhasználó? 
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És már indul is a vírus, természetesen adminisztrátori jogosult- 
ságokkal, mert az csak természetes, hogy mindenki klausztro- 
fóbiás tüneteket produkál admin jogok nélkül. 

Mit lehet tenni? Osztályozni kellene a kódokat aszerint, hogy 
mennyire bízunk meg bennük, és ez alapján automatikusan 
több-kevesebb jogosultságokat rendelni hozzájuk. Automati- 
kusan, és nem mindenféle felesleges kérdés hatására. Ez a Co- 
de Access Security (CAS). 

A CAS-ben a jogosultságkezelés az assemblyk valamiféle azo- 
nosításán, kategorizálásán alapul, ezt hívjuk evidenciának 
(Evidence). Az evidenciák alapján a biztonsági házirend (Secu- 
rity Policy) jogosultságokat (Permission) rendel az egyes as- 
semblykhez. A futtató (Common Language Runtime) egyes kri- 
tikus funkciók elérését biztosító metódusok hívásakor megkö- 
veteli a hívó assemblyktől, hogy rendelkezzenek a végrehajtás- 
hoz szükséges jogosultsággal. Ezt maguk a privilegizált kódok 


kérik a CLR-től. Ha ez hiányzik, mert a Biztonsági házirend mi- 
att a hívó assemblyk nem rendelkeznek vele, egy kizárás 
(SecurityException) emelkedik fel, így a privilegizált funkciót 
nem tudjuk végrehajtani. 

Az egyes evidenciák által azonosított assemblyk és a hozzájuk 
tartozó jogosultsági csoportok (Permission Set) összerendelését 
a kódcsoportok (Code Group) jelölik ki. Azaz a biztonsági há- 
zirend nem más, mint a kódcsoportok, a bennük definiált evi- 
denciák és a jogosultsági csoportok összessége. 

A biztonsági házirend többszintű: User, Machine, és Enterprise 
(valamint AppDomain, de most azt nem tárgyalom). Mind- 
egyik házirendszint adhat valamiféle jogosultságot egy as- 
semblynek, amely jogosultságok metszetét fogja megkapni egy 
aktuálisan futtatandó kód. De ne rohanjunk előre, lássuk elő- 
ször a futtató hátteret! 


Alapelvek 


Unsafe blokkot nem tartalmazó, Ctt és VB.NET fordítók által 
emittált assemblyk ellenőrizhetően biztonságos, Intermediate 
Language kódot tartalmaznak (verifiable code). Ez azt jelenti, 
hogy CLR ismeri a kód minden tevékenységét, így az nem tud 
például olyan memóriaterületekhez hozzáférni, amiről a CLR 
ne tudna. Ez nemmenedzselt (natív kódú) környezetben lehe- 
tetlen volt, mert közvetlenül belecímezhettünk a processzünk 
teljes memóriatartományába. j 
Mivel egy nem ellenőrizhető kód kicsúszhat a CLR kezéből 
(unsafe Cst metódus pointerekkel, COM komponens vagy DLL 
hívás), ezekre külön, nagyon erős jogosultságokra van szüksé- 
ge a hívónak, különben ezeken keresztül a nemmegbízható 
kódok tönkrevághatnák a rendszert. 

Egy strong névvel ellátott assembly digitálisan alá van írva, így 
a CLR az assembly betöltésekor ellenőrizni tudja, hogy a kód 
azonos-e azzal, mint amit fordításkor (általában ekkor történik 
meg a digitális aláírás) generált a compiler. Ez nem jelenti azt, 
hogy tudjuk ki írta az assemblyt, csak azt, hogy útközben nem 
változott meg. Viszont az aláírás publikus kulcsa, mint egyedi 
jellemző benne van az assemblyben, így ezen keresztül példá- 
ul egyszerűen megragadható egy assembly, például az eviden- 
cia vizsgálatához. 


Tesztalkalmazás 


Példaként nézzünk egy egyszerű Windows Form alkalmazást, 
amely egy Puzzle játék (az eredeti alkalmazás a [2] címen ér- 
hető el, Jason Clark tollából). Ez két assemblyből áll: puzz- 
le.exe és puzzlecontrol.diI. Ha ezt a helyi merevlemezről elin- 
dítjuk, a program vígan fut (éppen keveri a puzzlékat): 


Jaa sét 
tti. TŰ technet 


Start Puzzle 





EA A Windows Forms tesztalkalmazásunk 


Mivel tudjuk, a .NET-es alkalmazásokat lehet telepítés nélkül is 
futtatni, felrakjuk a két assemblyt és az alkalmazás által hasz- 
nált képeket egy webkönyvtára, hogy ezen keresztül bárki el- 
érhesse. Beírjuk a böngészőbe, hogy http://localhost/puzz- 
le/Puzzle.exe, és várunk. Azt gondolnánk, hogy a böngésző 
megkérdezi, hogy letöltse vagy elindítsa a programot. De nem 
ezt teszi, szó nélkül elindítja. Miért ilyen bátor? Mert látja, 
hogy menedzselt kódról van szó, és úgy van vele, hogy ahhoz 
ő ért (mármint nem a böngésző, hanem a CLR), így elkezdi fut- 
tatni azt azokkal a jogosultságokkal, amelyet a biztonsági há- 
zirend ad számára. 

Esetünkben fog futni az alkalmazás, mert tudatosan nem csinál 
semmilyen privilegizált műveletet, amely miatt kidobná a fut- 
tató. Azonban amint például SOL Serverhez, fájlokhoz vagy a 
regisztrihez nyúlna — kinyúlna. 


A Biztonsági házirend 


Honnan kapott jogosultságot a példánk, amikor http-n értük el? 
Ugyanilyen simán lefutna egy ártalmas kód is a www.hac- 
kers.org címről is, és formázhatná a gépünket? A válaszhoz is- 
merjük meg a biztonsági házirendet közelebbről. Az ismerke- 
dést barátságosabbá teszi, ha nem ugrunk bele a biztonsági 
konfigurációt leíró xml állományokba, hanem elővesszük a 
.NET Framework Configuration MMC eszközt, és azon keresz- 
tül vizsgáljuk meg a CAS-t. Az adminisztratív eszköz az Start 
Menü/.../Administrative Toolsban foglal helyet. 

A konzol középső része, a Runtime Security Policy a fő célpon- 
tunk. Látható, hogy most a Machine szint van kinyitva, ami a 
gépen futó összes menedzselt programra ír elő biztonsági be- 
állításokat. Az egyik ágon a kódcsoportokat adminisztrálhat- 
juk, a másikban a jogosultsági halmazokat, míg az utolsóban 
olyan assemblyket lehet beregisztrálni, amelyek kibővítik a 
.NET biztonsági rendszerét. Most az első két ágon fogunk vizs- 
gálódni. 
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4 Runtime 
Security Policy 


a) FilecodeGror 
6 Internet Zone 


A kódcsoportok (Code Group) 
rendelik össze a valamilyen 
evidenciával vagy más mó- 
don kiválasztott assemblyket 
a hozzájuk rendelt jogosult- 
sági halmazhoz. Ha meg- 
nézzük az All Code csoport 
tulajdonságait, akkor látható, 
hogy a Membership Condi- 
tion nevű fülön azonosíthat- 
juk azt a kódot, amelynek 
szeretnénk jogosultságokat 
adni. Az All Code nevű felté- 
tel bármely kódra egyezést 
mutat, a többi feltétel evi- 
denciákra épül, például a forrás URL címére. 

A harmadik fülön, a Permission Set nevűn definiálhatjuk, hogy 
a feltételnek megfelelő kódok mely jogosultsági halmazokban 
definiált jogosultságokhoz fognak jutni. Machine szinten az 
AIlI Code csoportba tartozó assemblykre (mindenkire) ez Not- 
hingra van állítva, így alapban senki, semmilyen jogosultságot 
nem kap (Nothing permission set), 


A CLR security engedélyező alapú, azaz ha egy assembly más 
kódcsoport miatt kap plusz jogosultságokat, akkor az az övé. 
Azaz a Nothing nem olyan, mint a Windows 2000 Deny jogo- 
sultsága, (alapban) nem blokkolja a többi jogosultságot. 

Az AII Code minden kódcsoport gyökere. A CLR security úgy 
működik, hogy ha a fa egy csomópontjának tagsági feltétele 
alapján egy assembly beletartozik a csoportba, akkor a CLR 
tovább megy a fán lefelé, és keres további egyező csoporto- 
kat. Így elindul a My Computer Zone csoporthoz. Ennek tag- 
ságát egy Zone nevű evidencia határozza meg, amely az In- 
ternet Explorer által kategorizált URL zónákra épül. Azok az 
assemblyk tartoznak ebbe a csoportba, amelyek az IE alapján 
a My Computer zónába tartoznak, azaz a lokális gépről indul- 
tak el vagy töltődtek be. Ezek a kódok a Fullfrust jogosultsági 
halmaz által definiált jogosultságokat fogják élvezni, az gya- 
korlatilag mindent megtehetnek, amit egy natív kód is megte- 
hetne. 

Ha például a puzzle.exe és puzzlecontrol.díI a c:s1temp-be van 
másolva, akkor ez a kódcsoport is illeszkedni fog rá. Hasonló 
módon a CLR végigmegy a teljes Code Group fán, és megke- 
resi, hogy mely csoportokra egyezik az adott assembly, így ez 
alapján összegyűjti milyen jogosultsági csoportok adnak neki 
jogosultságokat. Csak akkor megy lefelé egy csomóponton, ha 
a csomópont feltétele teljesül az assemblyre. Ezért úgy kell fel- 
építeni a csoportokat, hogy magasabb szinten általánosabb, 
több assemblyre egyező csoportokat hozzunk létre, amelyeket 
lefelé haladva tovább szigorítunk, specifikálunk. Emiatt általá- 
ban magasabb szinten gyengébb jogosultságok szerepelnek, 
amelyet alacsonyabb szinten — a kiváltságosok részére — továb- 
bi jogosultságokkal egyészítünk ki. 
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Code Group 


d A CLR keresgél a kódcsoportokban 


A különböző csoportokból származó jogosultságok unióját, 
hangsúlyozom: unióját képezi a CLR, azaz az innen-onnan ka- 
pott jogosultságok összességével fog rendelkezni az assembly. 
Ez nyilván azt jelenti, hogy egy My Computer Zone kódcso- 
portba tartozó kód azonnal FullTrustot kap, amelyet ezen a po- 
licy szinten senki más nem vehet el tőle, maximum hozzáad- 
hatna (csak már nincs mit). 

Viszont többféle szintű házirend létezik. Amint látható, van 
még Enterprise és User szintű policy is. Az Enterprise policy 
Active Directory Group Policyval terjeszthető, éppúgy, mint 
bármely más Microsoft Installerrel készített program, így a tar- 
tomány összes gépére előírhatóak biztonsági beállítások. User 
szinten az éppen belépett felhasználóra érvényes beállításokat 
eszközölhetünk teljesen azonos módon a Machine szinten lá- 
tottakhoz (ez a profile-ban tárolódik). 

A CLR minden szinten meghatározza a jogosultsági halmazo- 
kat, majd ezeknek a metszetét, ismétlem: metszetét (intersecti- 
on) képzi. Azaz csak azok a jogosultságok maradnak meg az 
assembly számára, amelyeket mindhárom szint előír. 





/ Enterprise 










f 


" App Domain 


d A különböző szinten kapott jogosultságok metszetét 
képzi a CLR 


Mit jelent ez? Azt például, hogy Enterprise szinten le lehet kor- 
látozni bármely felhasználó gépén futó programok jogosultsá- 
gát. Mivel például Hash evidenciával (hamarosan közelebbről 
is megnézzük) egyértelműen azonosítani lehet egy kódot a fájl- 
nevétől függetlenül, így a jövőbeli menedzselt (IL) kódú prog- 
ramok futtatását központilag meg lehet majd akadályozni. Pél- 
dául ICO, Chat programok, Media Player, csakhogy néhány 
produktivitást befolyásoló programot említsek. Hogy mennyire 
fogják utálni a felhasználók a .NET-et! 

Viszont ez a többszintű hierarchia ellenkező értelemben is fel- 
használható. Minden egyes kódcsoportban be lehet kapcsolni 


a ,Policy levels bellow this level will not be evaluated" kap- 
csolót (programból PolicyStatementAttribute.LevelFinal). Ez 
azt jelenti, hogy például egy Enterprise szinten megadott jogo- 
sultság esetén nem folytatódik a kiértékelés alacsonyabb szin- 
teken, így egy Machine vagy User szintű policy nem tud jogo- 
kat elvenni egy assemblytől. Így központilag biztosítható a kri- 
tikus programok megfelelően erős jogosultsága, amelyet sem a 
felhasználó, sem a lokális admin nem vehet el. 

Másrészt egy kódcsoportban megadható az is, hogy a kiértéke- 
lés álljon meg a kódcsoportnál, ne menjen tovább (lefelé a fá- 
ban) a CLR. Így például egy fa gyökeréhez közeli szinten kiadott 
Nothing jogosultsági halmazzal megakadályoztatható egy prog- 
ram futtatása, hiába kapna több jogosultságot más kódcsoport- 
ból. A menedzsment felület ezt , This policy level will only have 
the permissions from the permission set associated with this co- 
de group" néven mutatja meg, programból a PolicyStatemen- 
tAttribute.Exclusive megjelöléssel érhető el. Nyilván hiba azo- 
nos szinten több kódcsoportot megjelölni az Exkluzív jelzővel. 
Ezek után pedig nézzük meg a biztonsági házirend egyes ele- 
meit közelebbről. 


Egy kis kutakodás 


Hogy világosabb legyen amiről eddig beszéltem, nézzük meg 
a példaalkalmazásunkat az új ismeretek fényében. 

Először vizsgáljuk meg, milyen jogosultságokat kapunk, ha az 
eredeti helyéről érjük el a programunkat. A vizsgálathoz több- 
féle módszer is a rendelkezésünkre áll. Használhatjuk az admi- 
nisztrációs felületet, a caspol.exe nevű utilityt és programból is 
meghatározhatók az eredő jogosultságok. 

A program lokálisan a CNcasXPuzzlebin DebugiPuzzle.exe 
címen érhető el, a hozzá tartozó library assembly pedig a 
CNcas Puzzle bin DebugPuzzleControl.díI. címen. HTTP-n 
keresztül megközelítve a http://localhost/puzzle/ Puzzle.exe a 
forráscím. 

A menedzsment konzolban a Runtime Security Policy csomó- 
pontra kattintva a menüből kiválasztható az ,Evaluate an As- 
sembly" menüpont. Erre feljön egy varázsló, ahol megadhatjuk 
a kiértékelendő assembly elérését. 


Evaluate an Assembly 


What Would You Like to Evaluate? 
This wizard can determine the permissions that will be granted to an assembly 
or determine the code groups that give permissions to an arsembly. 
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1. Select an assembly to evaluate: 


flenere: FONSZCTETEE ( mowe Í 


2. Choose the type of evaluation: 
C View permissions granted to the assembly 
G View code groups that grant permissions to the assembly 


3, Select policy level to evaluate: 


All Levels :] 


Policy level: 








Id Egy assembly eredő jogosultságainak és kódcsoportjai- 
nak meghatározása 


A varázsló meghatározza, hogy mely kódcsoportok haraptak rá 
az assemblyre, illetve megmutatja, hogy ezeken keresztül egy 





vagy több szint figyelembevételével milyen eredő jogosultsá- 
gokat kapunk. Például URL-en keresztül a következő csopor- 
tok illeszkednek a programunkra: 


Evaluate an Assembly MENES- zi 


List of Code Groups 
This wizard has determined the code groups that will grant permissions to the 
assembly. 












Assembly evaluated: 
Level evaluated: 


http: /flocalhost/puzzlefPuzzle.exe 
AllLevels 





A-B Machine Policy 
A-£ All Code 
A-$ tLocallntranet Zone 
A NetCodeGroup 0 
2 FilecodeGroup, 0 
A £? User Policy 
£ All Code 











Ed A fő assemblynkre illeszkedő csoportok 


Látható, hogy Enterprise és User szinten csak az All Code álta- 
lános csoport ismer fel minket, ám Machine szinten a Locallnt- 
ranet Zone és további két alcsoport is illeszkedik az as- 
semblynkre. 

A Locallntranet Zone tagsági feltétele, hogy az assembly forrás 
URL-je a Local Intranet zónába essen, azaz a kiszolgáló nevé- 
ben ne legye pont (.) karakter. Ez teljesül, ezért ez a kódcsoport 
ránkszabadítja jogosultságait, amelyet Locallntranet nevű jogo- 
sultsági csoport ír le. 

Mivel ezen a szinten teljesült a tagsági feltétel, a CLR elindul 
lefelé a fában, így kiértékeli a NetCodeGroup 0 és a FileCo- 
deGroup. 0 csoportokat is. 

Mindkét csoport érdekes abból a szempontból, hogy tagsági fel- 
tételeiket és az általuk osztott jogosultsági halmazokat nem lát- 
hatjuk közvetlenül, csak egy XML darabka írja azt le. 


NetCodeGroup, 0 Properties E 


General. Custom Code Group ] 
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Custom code groups cannot be edíited in this configuration tool. 
Below is the XML representation of this custom code group. 


XML representation of custom code group: 





Id. A NetCodeGroup 0 kódcsoport tagsági feltétele és cso- 
portdefiníciója XML formátumban 





Ezek a csoportok dinamikusan, futás közben alakíta- 
nak ki jogosultságokat az assembly evidencia alap- 
ján. Látható, hogy a NetCodeGroup 0 tagsági felté- 
telét a System.Security.Policy. AllMembershipCondi- 
tion osztály írja le, azaz ez a csoport minden kódra 
vonatkozik. Mivel azonban ez a csoport a Locallntranet Zone 
csoport alatt van, csak az ebbe a zónába tartozó kódokra 
vonatkozik. Ezekhez az assemblykhez a System.Security. 
Policy.NetCodeGroup. osztály fog jogosultságokat osztani, 
amely olyan WebPermission-nel tér vissza, amely megengedi 
a programoknak, hogy http-n keresztül visszacsatlakozhassa- 
nak arra a címre, ahonnan ők letöltődtek. Mivel ez a cím bár- 
mi lehet, ezért nem lehetett normál módon leírni ezt a kód- 
csoportot. 

Így a mi kódunk visszacsatlakozhat a http://localhost/t címre, 
amire szüksége is lesz, mert onnan tölti le az összerakandó ké- 
peket. 

A FileCodeGroup 0 is egy dinamikus jogokat osztó csoport, 
amely Read és PathDiscovery jogokat ad az assemblynek arra 
a könyvtárra, ahonnan betöltődött. Így jogunk lesz a képek lis- 
táját felolvasni az assembly mellől. A háttérben a jogosultságo- 
kat a System.Security.Policy.FileCodeGroup osztály generálja 
le, de ez csak file:// vagy UNC elérési úttal elért assemblykre 
vonatkozik, http-sekre nem. Magyarul a http://localhost/ 
puzzle/Puzzle.exe módon futtatott programunk nem tudja ki- 
listázni a forráskönyvtár tartalmát. Ez érthető, hisz egy http url- 
lel elért könyvtár tartalmát nem lehet kilistázni pl. a 
System.IO.Directory osztállyal, erre például egy webszerviz 
vagy WEBDAV-ot tudó webszerver adhatna segítséget (SE- 
ARCH metódus). 

Milyen jogosultságokat kapunk végülis az 6 kódcsoporton ke- 
resztül? 


evaluate an Asszembiy — Ülpermission viewer (Read-Only) 


List of Permissions Grant Web Access Permissior 
This wizard has determine 
assembb. 













To view the details of a permission, select the permission fizess 
anddkk View Permission. Menpermisson  ] 


c Back Fish] Cane] 








Id Az eredő jogosultságok 


Viszonylag sokat, de csak olyanokat, amelyek nem destruktí- 
vak. Így kirakhatunk File Save és Open Dialógus ablakokat, az 
azokban kiválasztott fájlokat írhatjuk és olvashatjuk, de csakis 
azokat, mást nem, a felhasználó tudta nélkül nem babrálhatjuk 
a merevlemezeket. 

Kirakhatunk ablakokat, használhatjuk az Isolated Strorage-ot 
(egy olyan fájltároló mechanizmus, amellyel korlátozott és 
programból nem felderíthető helyre írhatunk fájlokat és olvas- 
hatjuk őket). 
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Code Rccess Security a .N 


Futtathatjuk a kódunkat, de például nem hívhatunk 
meg natív kódot, hisz akkor az alkalmazásunk bármit 
megtehetne COM komponensek és DLL-ek haszála- 
tával. Nem futhat a kódunk, ha nem bizonyíthatóan 
ellenőrizhető (Skip Verification kikapcsolva) a tartal- 
ma. Látható, hogy ezzel a házirenddel az intranetes pragramok 
kb. egy olyan jogosultságot kapnak, mint a JAVA appletek egy 
böngészőben. 





Permission Yiewer (Read-Only) É ELS Xi 


Security Permission: 


Enable Code Execution 

Allow Calls to Unmanaged Code 

Assert any permission that has been granted 
Skip Verification 

Enable thread control 

Allovi Policy Control 

Állow Domain Policy Control 

Állow Principal Control 

Create and Control Application Domains 
Serialization Formatter 

ÁAllow Evidence Control 

Extend Inírastructure 

Enable Remoting Configuration 





5 A Security nevű permission beállítása az Intranet 
zónában 


Gyakorlatilag az összes jogosultságunkat a Machine szint szol- 
gáltatta. Ha megnézzük, Enterprise és a User szinten is az 
AII Code csoport FullTrust-ot ad nekünk, így a Machine által 
kikevert jogosultságokba nem szólnak bele. 
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Zárszó 


Mindez szép és jó, de tulajdonképpen mire is jó ez az egész? 
A CAS célja, hogy olyan finoman állítható jogosultsági rend- 
szert hozzon létre, amely segítségével a menedzselt kódok 
megkapják az általuk igényelt jogosultságokat, de nem kapnak 
többet, mint ami a biztonságos működésükhöz szükséges. Így 
egy rosszindulatú, vagy bugos kód nem tehet kárt a gépünk- 
ben. Ha az operációs rendszerek nem lesznek hajlandók csak 
menedzselt kódot futtatni (lesz ilyen?), gyakorlatilag egy jól be- 
állított házirend mellett biztonságosan lehet futtatni bármilyen 
ismeretlen kódot is, a vírus- és víruskereső írók legnagyobb bá- 
natára. 

Egyelőre azonban a menedzselt osztályok jelentős része úgy 
körbe van bástyázva, hogy FuliTrust igények nélkül futó kódot 
nagyon nehéz írni. Amint például kinyúlnék egy SOL Server- 
hez, már FullTrust kellene a programunkhoz. Ennek okait most 
nem boncolgatom (ld. AllowPartiallyTrustedCallersAttribute), 
de a jövőben ezekre is lesz megoldás. Tekintsük úgy a CAS-t, 
mint egy olyan kezdeményezést, amely a megbízhatatlan , mo- 
bil kódok megzabolázását tűzte ki célul. Mint minden ebben 
szakmában, ez is evolúcióval megy előre, úgyhogy már most 
is érdemes tanulmányozni, mert a jövőben már mindennapi 
lesz a használata. 


Soczó Zsolt MCSE, MCSD, MCAD, MCDBA, MCT 
Zsolt.Soczo€onetacademia.NET 
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Microsoft hivatlos magyarországi letöltőszervere, valamint a Netacadémia szerverei is 
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bárki saját személyes címlistát készíthet a letöltött adatok felhasználásával 
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pelalis Keresési ODCIÓRKZ 
Több mint 90 000 cég, vállalkozás adatai az 
ország egész területéről, keresési lehetőségek: 
név, cím, telefonszám, tevékenység és kerület alapján. 
A keresett cég telephelye megtekinthető térképen is 
(Budapest, Győr, Miskolc, Pécs és Szeged) 


angol és magyar nyelven egyaránt. 








Címzett: NetAcademia KÉt. 
Faxszám: (1) 472-1215 
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Előfizetem a tech.net magazint: 
KKA ére példányban egy évre (14.784 Ft) 
.. s. s. a . példányban fél évre (7.392 Ft). 
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MesterOrzus megrendelőlap 


Címzett: NetAcademia Kft. ax 


Faxszám: (1) 472-1215 





A 2003 első félévében megrendezésre kerülő MesterOrzus konferenciák: 


2003. január 30. 13:45 - 18:00 5000 Ft--HÁFA/fő 
Fóti Marcell: "Az Active Directory tartalmának tömeges módosítása 
Fóti Marcell: Adatbázisalapú webalkalmazások hackelése (SOL Injection) 


Dorner Csilla: . A csoportos házirend (Group Policy) rejtelmei 
Gyakorlat: Címtármódosítás LDIF-fájllal 


2003. március 27. 13:45 - 18:00 5000 Ft--ÁFA/fő 
Fóti Marcell: Bevezetés a hálózati forgalom elemzésébe 
NetLock Kft. vendégelőadó: A nyílt kulcsú technológia építőkockái 
Fülöp Miklós: Nyílt kulcsú architektúra a Windowsban 


Gyakorlat: Felhasználói és kiszolgálóoldali PKI-gyakorlatok 


Ajándék: Hiteles NetLock tanúsítványpár elektronikus aláíráshoz és titkosításhoz. A kulcstároló eszközök a helyszínen 
megvásárolhatók. 


2003. május 29. 13:45 - 18:00 5000 Ft-HÁFA/fő 
Fóti Marcell: Az elektronikus levelezés védelmének lehetőségei Exchange Serveren 
Soczó Zsolt: SOAP 


VirusBuster Kft. vendégelőadó: A Windows rendszerek támadható, és védelmi felületei 
Gyakorlat: Felhasználói és kiszolgálóoldali PKI-gyakorlatok 
Ajándék: Virus Buster Personal Edition, 1 éves előfizetéssel 
A konferenciákkal kapcsolatban a változtatás jogát fenntartjuk! 
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Megrendelem a MesterOrzus konferenciákon való részvételt az alábbiak szerint: 


2003. január 30. 0 (2ssssáséssse fő 

2003. MÁFCIHÚS 27. 000 ssstszsksnskese fő 

JÓÖZ. MÁJUS 29 semsszsness fő 
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ELMANGÍNTS As enter HUGE KÉS UNEDEKÉ BE HNK ÉGE A GÁL VALÁK E BEL BY SEK ÉL SE ZNTÓS ÁT 
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Kellizssséses Tsséss Tagok ALÁÍTÁSE szó szet gászkádé akás 


Bővebb információt a http://vww.netacademia.net/mesterg honlapon talál, illetve a következő elérhetőségeinken kérhet: 
Tel.: 472-1214 Fax: 472-1215 info.-onetacademia.net 


Előfizetési szelvény SE5 eses" FAX 


Tisztelt Olvasónk! 

Lapunk hírlapárusi forgalomba nem kerül, ezért ha kíváncsi megkezdett sorozataink folytatására, kérjük töltse ki és juttassa el hozzánk az alábbi megrendelőlapot. Előfizetőinket 
szeretettel várjuk Mesterkurzusainkon. Klubtagjaink kedvezményesen vehetnek részt konferenciáinkon, tanfolyamainkon stb. 

Kérjük töltse ki ezt az előfizetési szelvényt és faxolja el az (1) 261-7145-ös faxszámra. 











Na, ma lesz a nagy találkám e. 
a fönökkel és kitaláltam . ..IGENI FŐNÖKI beosztást akarok, 
az én "három kívánságomat!) [-- G KÉT HÉT szabadságot karácsonykor, 
Nem is kívánságok! céges MOBILTELEFONT és 
KÖVETELÉSEK!!! KÉT ÉV ELŐFIZETÉST A 

ELEGEM VAN MÁR ABBÓL TECH.NET MAGAZINRA!!! 
HOGY SEMMIBE VEGYENEK! 5 69 Eleget dolgoztam már keményen! 
: Eljött az én időm! Jól figyelj 
barátocskám, a jövendő főnököd 
áll előtted! Na, hogy tetszem? 













ÖTPERCCELKÉSŐBB Ten; nincs! Szegeny Várjál Ince! 
embert még... Nincs ír 2. z ez a Eső 
Hogy, hogy??? A fönök eluta- szívem megmondani V (megg Csip úr szíve azért nem ilyen érzéket- 
sította minden kívánságomat! a barátnőmnek, hogy 


Az ünnepek alatt portaszolgá- 6? jadből!([ fiarácsonykor is dolgozom. ; : ] len. Vagy mégis? Most meglepheti az 
(Hgveljkevar kölesén svéd ( . ] Ön kedves , Ince" barátját! A saját nyu- 
Tiesztlesznekett Ez NM Szezlld  galma és az ünnepek hangulata megér 
lta Fela) S egy tech.net előfizetést , Ince" kará- 
- csonyfája alá...ha lesz fája persze. 
Mottó: . . hogy 2002 decemberében egy 


tech.net se hiányozzon a könyvespol- 
cáról! 





Előfizetem a tech.net magazint: — ...példányban egy évre (14.784 Ft) 
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Amennyiben a számlázási cím nem egyezik meg a szállítási címmel, kérjük 


az alábbi részt is töltse ki! 





VONIZV9VW 


Számlázási cím: Szállítási cím: 


